Windows 系统存在漏洞：同一 Wi-Fi 下的攻击者可利用 IPv6 劫持网络连接

HackerNews 编译，转载请注明出处： 安全研究人员警告，Windows系统中默认启用的IPv6协议存在“休眠功能漏洞”，可能成为攻击者的后门。若企业未实际使用IPv6且未进行安全配置，该漏洞可导致整个域环境完全沦陷。 尽管IPv6尚未广泛部署，但Windows系统默认启用该协议且优先级高于旧版IPv4，这一特性引发严重安全隐患。网络安全公司Resecurity指出：攻击者只需控制网络中的任意设备（包括IoT设备），即可将其伪装成虚假配置服务器和DNS服务器。Windows计算机会优先信任这些恶意指令，覆盖现有IPv4配置。 研究人员披露：攻击者可通过此漏洞劫持计算机连接，实现重定向用户至恶意网站、窃取凭证，最终控制整个网络。此前，DNS劫持技术已被VK9 Security等安全机构详细分析。 攻击链：从初始入侵到完全控制 Resecurity在报告中描述攻击者实现域环境完全沦陷的步骤（攻击过程仅需数分钟）： 伪造DHCPv6服务器：攻击者利用开源渗透工具mitm6（可在GitHub获取），将任意设备（包括低性能Linux物联网设备）转变为恶意IPv6配置服务器。 DNS劫持与控制：劫持DNS后，攻击者可将用户重定向至钓鱼网站，同时定位域控制器并截获用户访问网络资源时的登录凭证。 权限升级与域控接管：攻击者向域控制器中继窃取的凭证（NTLM认证信息），冒充特权用户创建恶意账户，最终获得在活动目录中执行任意命令的权限。 （图片由Resecurity提供） 技术本质与防御建议 该技术被命名为MITM6 + NTLM中继攻击，结合中间人劫持与权限提升手法。Resecurity强调：“此攻击是教科书级案例，展示微小配置疏忽如何引发活动目录的全面沦陷。” 关键缓解措施： 禁用未使用的IPv6：在未部署IPv6的环境中彻底关闭该协议，从源头消除攻击面。 部署网络层防护：在交换机和路由器启用RA Guard/DHCPv6 Guard功能，拦截非法IPv6通告及恶意DHCP服务器。 强化活动目录配置：设置ms-DS-MachineAccountQuota=0阻止非法创建计算机账户；强制启用SMB/LDAP签名防止中继攻击。 持续监控异常：检测非常规IPv6流量、异常网关变更及未经授权的DNS服务器更新。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文