Investigadores de Neophasis Labs han descubierto un ataque man-in-the-middle (MitM o intermediario) ingeniosamente simple que se apropia de la capacidad IPv6 de una computadora para así interceptar silenciosamente todo el tráfico web en una red destino.

El diseño del ataque no es nuevo, un ataque similar fue expuesto el año pasado en la conferencia DEFCON 21. Un principio similar (Stateless Address Auto Configuration (SLAAC)) fue demostrado en Infosec en 2011, sin embargo éste se extiende a segmentos de Windows 8 por primera vez.

Utilizando únicamente una dirección IPv4 disponible en la red, el equipo fue capaz de usar el script “Sudden Six” desde un equipo Linux para rápidamente insertar el sistema como un router IPv6 falso. Esta superposición de IPv6 fue capaz de interceptar todo el tráfico, viajando a través del equipo, lo que significa la captura de todo el tráfico sobre la red.

No es clara la descripción de qué tan fácilmente puede detectarse este enrutamiento falso sobre la infraestructura IPv4 establecida, pero en teoría, el ataque puede ser invisible. Aunque el equipo de Neophasis realizó este ataque en contra de usuarios con el sistema operativo Windows 8, puede funcionar en contra de cualquier computadora que permite el soporte de IPv6 de forma predeterminada, lo que incluye a muchos negocios y consumidores que utilizan los sistemas Windows 7 en adelante.

Irónicamente, la mayor limitación del ataque es que no funcionaría contra el delgado número de redes que nativamente soportan el enrutamiento de tráfico IPv6, en cuyo caso la superposición fallaría. Únicamente las redes IPv4 son vulnerables.

Un método de defensa manual sería deshabilitar el soporte para IPv6 en las tarjetas de red de cada computadora, aunque Neophasis señala que este enfoque podría disminuir los esfuerzos que se han realizado por adoptar este protocolo.