Ataques sobre IPv4 – Man in the middle (parte 2)

En la anterior entrada estubimos explicando los distintos ataques que se pueden hacer sobre IPv4, especificamente los ataques man in the middle. En esta entrada hablaremos de los dos últimos ataques que nos quedan para IPv4. Estos dos últimos ataques los podemos distinguir por su objetivo, uno ataca al router y el otro al protocolo autodiscovery de proxys del windows.

Comencemos por el ataque DHCP ACK Injection

Este ataque se encarga de hacer creer a todos los ordenadores que nosotros somos el router de tal manera que configura los clientes para que se conecten a través de nuestro ordenador cómo si fuéramos la gateway, de esta manera redireccionamos todo el trafico a través de nuestro ordenador y podemos obtener la información que los demás ordenadores envían.

Por último nos queda el ataque WDAP LLMNR

A partir de Windows 7 el sistema operativo de Microsoft utiliza el protocolo LLMNR que se dedica a buscar de manera automatica (en caso que lo tengas activo) el servidor proxy de la red local.  Al atacar este protocolo redireccionamos todo el trafico a través de nuestro ordenador.

 

En todos los ataque donde nosotros somos quien reenviamos la información a los diferentes ordendaores, en otras palabras todos los ataques de hombre en medio, podemos modificar la información (y/o las paginas web) inyectando código malicioso (por ejemplo javascript). Hace un tiempo el Dr. Chema Alonso escribió un white paper a cerca de como realizar este tipo de ataque a través de un proxy. Os dejo el enlace pues no tiene desperdicio.

http://www.elladodelmal.com/2012/03/owning-bad-guys-mafia-with-javascript.html

Y por si queréis ver la conferencia en la Defcon os dejo el video