You are currently viewing IPv6/MITM6 Attack
  • Post author:
  • Post last modified:25.06.2025
  • Post category:Metody

IPv6/MITM6 Attack

Atak IPv6/MITM6 wykorzystuje fakt, że systemy Windows domyślnie mają włączony protokół IPv6, nawet jeśli sieć działa głównie w oparciu o IPv4. Atakujący może wykorzystać mechanizmy automatycznej konfiguracji IPv6, takie jak DHCPv6 i Router Advertisement, do przekierowania ruchu sieciowego przez swój system i przechwytywania uwierzytelnienia.

Na czym polega atak

Atak MITM6 wykorzystuje protokoły IPv6 do utworzenia fałszywej infrastruktury sieciowej:

  1. DHCPv6 spoofing: Atakujący odpowiada na zapytania DHCPv6, podając się za legalny serwer DHCP
  2. Router Advertisement: Wysyłanie fałszywych ogłoszeń routera IPv6
  3. DNS spoofing: Przekierowanie zapytań DNS przez atakującego
  4. Credential harvesting: Przechwytywanie uwierzytelnienia NTLM z przekierowanego ruchu
  5. NTLM relay: Wykorzystanie przechwyconego uwierzytelnienia do ataków na inne systemy

Jakie luki wykorzystuje

  • IPv6 enabled by default: Windows domyślnie ma włączony IPv6, nawet w sieciach IPv4
  • Automatic configuration: Mechanizmy automatycznej konfiguracji IPv6 (SLAAC, DHCPv6)
  • DNS fallback: Systemy Windows używają IPv6 DNS gdy IPv4 nie odpowiada
  • Network trust: Zaufanie do ogłoszeń routera i serwerów DHCP
  • WPAD vulnerability: Wykorzystanie Web Proxy Auto-Discovery Protocol

Przykładowe polecenia

MITM6 – Podstawowy atak

mitm6 -d <domain>

Wyjaśnienie:

  • -d <domain> – nazwa domeny do spoofingu
  • Narzędzie automatycznie rozpoczyna nasłuchiwanie zapytań DHCPv6 i Router Advertisement
  • Tworzy fałszywy serwer DNS IPv6

Połączenie z NTLM Relay

# Terminal 1 - MITM6
mitm6 -d <domain>

# Terminal 2 - NTLM Relay
ntlmrelayx.py -tf targets.txt -smb2support -6

Wyjaśnienie kombinacji:

  • MITM6 przekierowuje ruch przez atakującego
  • NTLM Relay przechwytuje i przekierowuje uwierzytelnienie
  • Parametr -6 w ntlmrelayx włącza obsługę IPv6

Mitygacja

Podstawowe metody obrony zgodnie z dokumentacją Microsoft:

Blokowanie ruchu DHCPv6 i Router Advertisement przez Windows Firewall

Konfiguracja przez Group Policy:

Computer Configuration → Windows Settings → Security Settings → Windows Firewall with Advanced Security

Reguły do zablokowania:

  • (Inbound) Core Networking – Dynamic Host Configuration Protocol for IPv6 (DHCPv6-In)
  • (Inbound) Core Networking – Router Advertisement (ICMPv6-In)
  • (Outbound) Core Networking – Dynamic Host Configuration Protocol for IPv6 (DHCPv6-Out)

Wyjaśnienie: Blokowanie tych reguł zapobiega odpowiedzi systemu na fałszywe ogłoszenia DHCPv6 i Router Advertisement.

Wyłączenie WPAD jeśli nie jest używane

Konfiguracja:

  • Group Policy: Computer Configuration → Administrative Templates → Windows Components → Internet Explorer → „Disable Automatic Detection of Proxy”
  • Usługa: Wyłączenie usługi WinHttpAutoProxySvc

Wyjaśnienie: WPAD (Web Proxy Auto-Discovery) może być wykorzystane w połączeniu z atakami IPv6 do przekierowania ruchu HTTP/HTTPS.

Włączenie LDAP Signing i LDAP Channel Binding

Zastosowanie: Ataki przekierowujące ruch do kontrolerów domeny mogą być zmitigowane przez:

  • **LDAP Signing): Wymuszenie podpisywania komunikacji LDAP
  • LDAP Channel Binding: Wiązanie kanału LDAP z bezpiecznym połączeniem

Ochrona kont administracyjnych

Dodanie użytkowników administracyjnych do grupy Protected Users lub oznaczenie kont jako „Account is sensitive and cannot be delegated”

Efekt: Zapobiega personifikacji tych użytkowników przez ataki delegation-based.

Dodatkowe środki bezpieczeństwa:

  • Network monitoring: Wykrywanie nietypowego ruchu IPv6 w sieciach IPv4
  • IPv6 hardening: Właściwa konfiguracja IPv6 lub jego całkowite wyłączenie jeśli nie jest używany
  • Segmentacja sieci: Ograniczenie propagacji ruchu IPv6 między segmentami