Software::Security
Metasploit 4.10 setzt auf Login-Daten
Die auf Sicherheitsanalysen spezialisierte Firma Rapid7 hat ihr Penetrationstestframework Metasploit in der Version 4.10 veröffentlicht. Da viele Penetrationstester bei ihren Tests mehr Berechtigungsnachweise (Credentials) als Exploits einsetzen und so Zugriff via Login erlangen, haben die Entwickler einen Schwenk in die entsprechende Richtung vollzogen.
Credentials sind der aktuelle Trend bei Penetrationstests mit Metasploit. In der von Rapid7 durchgeführten Umfrage »2014 Metasploit User Survey« gaben 59 Prozent der 561 befragten Nutzer an, bei ihren Tests Credentials zu verwenden. Zu Exploits griffen dagegen nur 41 Prozent. Die Credentials haben den Vorteil, dass deren Einsatz strafrechtlich nicht so kritisch ist wie ein Angriff mit Exploits. Da Software zudem immer sicherer wird und Rapid7 zufolge auch Microsoft-Entwickler auf Techniken wie Data Execution Prevention (DEP), Address Space Layout Randomization (ASLR) und das Enhanced Mitigation Experience Toolkit (EMET) zurückgreifen, werden erfolgreiche Exploits zunehmend seltener. Auch Angreifer setzen in den letzten Jahren häufiger Credentials ein, so dass Penetrationstests mit ihnen realistischer sind.
Um diesen Entwicklungen gerecht zu werden, hat Rapid7 die Handhabung von Credentials in Metasploit 4.10 verbessert, vor allem in den kostenpflichtigen Varianten Metasploit Express und Pro. Credentials kommen mit Metadaten, in denen hinterlegt ist, woher sie kommen und wo sie erfolgreich für Logins eingesetzt wurden. 60 der 180 in Metasploit enthaltenen Hilfs-Module (Auxiliaries) wurden bereits als Credentials portiert. Um den Rest ebenfalls schnell zu portieren, startet Rapid7 einen entsprechenden Wettbewerb. Wer Metasploit mit Hilfe des Installers installiert, kann sofort von den Credentials profitieren. Anwender, die Metasploit via Github beziehen, müssen sich noch ein wenig gedulden.
Mit Metasploit Express und Pro lassen sich Credentials einfach verwalten und wiederverwenden. Der Hintergedanke für diese Funktionalitäten ist, dass viele Anwender ihre Nutzername-Passwort-Kombination für mehrere Services verwenden. Ferner implementierten die Entwickler entsprechende Berichtsfunktionen.
Neben den Credentials erweiterten die Entwickler Metasploit 4.10 um mehrere neue Module. So gibt es 35 neue Exploits und 60 neue Auxiliary- und Post-Module. Metasploit wird in Ruby implementiert und unter einer BSD-Lizenz veröffentlicht. Die Version 4.10 des Penetrationstestframeworks ist auf den Seiten des Projekts erhältlich. Bestehende Installationen können aktualisiert werden.
