Atak „TCP/IP hijacking” wciąż możliwy na Windows 7

Co to jest TCP/IP Hijacking?

Czytelnicy „starszej daty” z pewnością dobrze znają tą technikę, gdyż w latach 90 był to jeden z najsłynniejszych ataków. Warto wspomnieć, że atak Blind TCP/IP Hijacking został przeprowadzony przez samego Kevina Mitnicka na komputery Tsutomu Shimomury w San Diego Supercomputer Center w Boże Narodzenie 1994 roku. Było o tym wtedy głośno. Jest to BARDZO stara technika, o której nikt nie spodziewał się, że dożyje 2021 roku. Mimo to nadal możliwe jest przechwytywanie sesji TCP/ IP bez atakowania PRNG odpowiedzialnego za generowanie inicjałów numerów sekwencji TCP (ISN). Szczegóły ataku można poznać na przykład tutaj.

Jakich szkód może narobić przejęcie TCP/IP dzisiaj?

Na szczęście nie jest to tak katastrofalne jak kiedyś. Głównym powodem jest to, że większość współczesnych protokołów implementuje szyfrowanie. Oczywiście, sam fakt, że osoba atakująca może przejąć każdą ustanowioną sesję TCP/IP jest niepokojący, bo już z samych nagłówków można wyciągnąć wiele informacji. Jeśli jednak protokoły wyższych warstw prawidłowo implementują szyfrowanie, osoby atakujące są ograniczone pod względem tego, co mogą dzięki udanemu atakowi uzyskać. Mimo to nadal mamy szeroko stosowane protokoły, które nie szyfrują ruchu, np. FTP, SMTP, HTTP, DNS, IMAP i inne. Krytycznym protokołem może być tutaj TELNET, który używany jest w wielu urządzeniach IoT. Przechwytując takie sesje lub co gorsza podszywając się pod serwer i generując własne wiadomości, atakujący mogą spowodować katastrofalne skutki.

Warto wiedzieć, że aby wykonać atak TCP/IP Hijacking atakujący musi znać:

• Adres IP Klienta
• Adres IP Serwera
• Port Klienta
• Port Serwera
• Bajt sekwencyjny Klienta
• Bajt sekwencyjny Serwera

Jakie urządzenia rzeczywiście są podatne?

Exploit Zabrockiego zmodyfikował technikę ataku udokumentowaną przez innego badacza w 2007 roku, która była skuteczna przeciwko FreeBSD 4 i Windows 2K / XP, ponieważ oba systemy operacyjne używały IP_ID jako globalnego licznika, który zwiększa się z każdym wysłanym pakietem IP. Aktualnie, dotyczy to również Windows 7, wielu drukarek, starszych wersji Linux / FreeBSD / Mac OS, wydanych przez 2012 rokiem.

Windows 8 i większość innych nowoczesnych systemów operacyjnych implementuje IP_ID jako „lokalny” licznik na sesję, z których każdy ma niezależną bazę IP_ID, co zapobiega opisywanemu atakowi.

Podsumowanie

Ten przykład po raz kolejny pokazuje, jak ważne jest, aby nie obrażać się na nowe wydania Microsoft i korzystać tylko z ich najnowszych systemów w najnowszych wersjach. Z pewnością istnieje dużo więcej podatności i możliwości przejęcia kontroli nad komputerami z Windows 7. Przerażający jest fakty, że stanowią one jeszcze prawie 25% wszystkich aktywnych PC na Świecie.

Poniżej przedstawiamy jeszcze oficjalną odpowiedź Microsoft w tej sprawie: „Opisana technika opiera się na zestawie specyficznych warunków, które bardzo utrudniają jej wykonanie w prawdziwym scenariuszu. Nie planujemy rozwiązać tego problemu za pomocą aktualizacji zabezpieczeń. Zalecamy klientom korzystanie z systemu Windows 10 w celu uzyskania najlepszej ochrony”.