De Duitse beveiligingsexpert Marc Heuse ontdekte vorig jaar juli dat verschillende producten kwetsbaar waren voor een aanval met behulp van valse router advertisements (RA’s) op IPv6. Die techniek helpt apparaten in een lokaal netwerk om IPv6 subnets te vinden en daarmee te verbinden. Door een groot aantal van die RA’s binnen een netwerk te verzenden is het mogelijk Windows plat te leggen.

Ook Linux was kwetsbaar voor deze aanval, maar dat platform is inmiddels gepatcht.

Enorm processorgebruik

De firewalls van Juniper en Cisco boden ten tijde van Heuses ontdekking bovendien geen bescherming tegen deze DoS-aanval. Cisco loste dat in oktober 2010 op, maar bij Juniper blijft het stil. De routerbouwer erkent het probleem, net als Microsoft, maar wil er momenteel nog niet al te veel tijd aan besteden.

De willekeurige router advertisements die door een aanvaller een netwerk op gestuurd kunnen worden, zorgen voor een enorm gebruik van de processorkracht op Windows-computers. Als de aanval aanhoudt, dan blijft het gebruik van de processor net zo lang stijgen totdat de computer vastloopt en compleet bevriest. Een volledige reboot is dan de enige oplossing.

“Een op de computer geïnstalleerde firewall of een gelijksoortig product is niet genoeg om je tegen deze aanval te beschermen”, stelt Heuse. “De standaard filterinstellingen van zo’n programma laten deze pakketjes gewoon door”.

Microsoft reageert afwijzend

Microsoft reageert afwijzend op de melding van Heuse. In een reactie aan Network World laat de softwaremaker weten dat de bug bekend is. Het bedrijf behandelt die echter niet met prioriteit, omdat een aanvaller toegang moet hebben tot het lokale netwerk om een computer aan te vallen. Daartegen kan Microsoft niet beschermen.

Heuse pikt die uitleg van Microsoft echter niet. Hij stelt dat Microsoft al eerder gaten repareerde die het mogelijk maakten om een computer via het lokale netwerk te laten crashen. Bovendien was de impact daarvan veel kleiner, zoals bij een gelijkaardig IPv4-probleem in 2008. Heuse raakte zo gefrustreerd over de houding van Microsoft, dat hij twee weken geleden al besloot om zijn informatie naar de Full Disclosure mailinglist te sturen.

De Amerikaan Sam Bowne laat op basis daarvan zien hoe de kwetsbaarheid uitgebuit kan worden:

IPv6 uitschakelen

Terwijl Microsoft niet is geïnteresseerd, waarschuwen netwerk consultants Windows-gebruikers juist wel voor de problematiek. Zo legde Ed Horley van Groupware Technology vorige week de implicaties van het probleem uit op de Rocky Mountain IPv6 top in Denver. Hij stelt dat ook Playstations en Xbox consoles kwetsbaar zijn.

Er zijn verschillende manieren om het probleem tegen te gaan, maar elk daarvan heeft een nadeel. De eerste manier is om IPv6 in Windows 7 en Windows Server 2008 volledig uit te schakelen. Daarmee vedwijnen echter ook enkele features die Microsoft op die platforms biedt, zoals DirectAcces, waarmee Windows 7 een altijd-aan verbinding met Server 2008 R2 krijgt.

Andere oplossingen

Ook is het mogelijk om de optie ‘Router Discovery’ op een Windows systeem uit te schakelen. Dat heeft echter als nadeel dat het niet langer mogelijk is om stateless autoconfiguration (waarmee een computer netwerkgegevens toegewezen krijgt) te gebruiken. Voor een server is dat niet zo’n probleem, maar voor andere computers wel.

Daarnaast zou het mogelijk zijn om valse router advertisements in een firewall te blokkeren en te whitelisten welke advertisements van betrouwbare bronnen komen. Die tactiek is volgens Heuse echter eenvoudig te omzeilen. Later deze maand komt hij met een manier om dat ook daadwerkelijk te doen.

Cisco beschermt, Juniper niet

Uiteindelijk is het ook mogelijk om een firewall met volledige bescherming tegen deze aanval in te zetten. Cisco biedt sinds de ontdekking van kwetsbaarheid bijvoorbeeld firewalls met RA Guard. Het bedrijf heeft de documentatie van dat systeem ingediend bij standaardenorganisatie Internet Engineering Task Force (IETF) als RFC 6105. Het lijkt echter geen standaard te worden.

Juniper blijft wachten op de standaard RFC 6164 die ook onderschreven wordt door Google en IBM. Die zou de problemen op dezelfde manier als Cisco's idee tegengaan, maar op een meer open manier. De RA Guard van de routerreus is namelijk beschermd met patenten en Cisco wil de techniek niet royaltyvrij weggeven voordat het een standaard is. Dat is nog niet zo, dus is het voor Juniper nog geen optie dit te gebruiken.

'Draadloos helemaal kwetsbaar'

Juniper verwacht dat RFC 6164 in juli een volledige standaard zal worden, waarna het bedrijf deze in haar routers en firewalls kan implementeren. Tot die tijd lopen klanten volgens een zegsman van Juniper overigens sowieso niet zoveel risico. Alleen een aantal verouderde routers zou kwetsbaar zijn als zij als host ingesteld staan. Dat is ook nog eens te wijten aan het protocol. Daarin staat dat een host alles door moet laten, ook kwaadaardige pakketten.

RA Guard of aanverwante technieken zijn echter geen optie als het om draadloze netwerken gaat. Dat meent Horley althans. Windows 7 en Server 2008 zijn met een draadloze verbinding namelijk ook kwetsbaar en dan is er geen goede oplossing. Horley erkent echter dat het grootste risico in draadloze netwerken ligt in het verbinding maken met een open netwerken. Op een vertrouwd, beveiligd, draadloos netwerk zal de hack niet zo snel uitgebuit worden.