Im Rahmen unserer Vulnerability Scans taucht ein Finding immerwieder auf: Banner-Grabbing. Durch das Herstellen einer Verbindung auf einen Zeilport heisst die Zielanwendung den Benutzer mit einem Banner willkommen. In diesem sind Informationen zum eingesetzten Produkt und eventuell gar zur genutzten Version sowie zusätzlichen Informationen (z.B. Bugfixes, Plattform) enthalten. Beispiel des Banners eines SMTP-Mailservers:

maru@debian:~$ telnet mailtest.scip.ch 25
220 mailtest.scip.ch ESMTP Sendmail 8.12.3/8.12.3/Debian-7.1

Laut unserer Schwachstellenklassifizierung erhält ein Banner-Grabbing die Einstufung Medium. Diese Form der Auswertung (im weitesten Sinn handelt es sich um ein patternbasiertes Application Fingerprinting) bietet eine elementare Grundlage, um zielgerichtete Angriffe vorzubereiten und anzugehen. Ein Angreifer erlangt damit drei Vorteile:

1. Lohnenswerte Ziele können identifiziert werden
2. Angriffstechniken lassen sich auf Technologien/Produkte/Versionen/Einstellungen ausrichten
3. Unnötige Zugriffs-/Angriffsversuche können gespart werden

Wir empfehlen den betroffenen Kunden jeweils auf die Herausgabe sensitiver/technischer Informationen zur Zielumgebung zu verzichten (z.B. Banner, Fehlermeldungen). Dies bedeutet, dass Angreifern die jeweiligen Bannerinformationen nicht zur Verfügung gestellt werden sollten.

In diesem Zusammenhang erschliessen sich jedoch unterschiedliche Lösungswege. Einerseits kann der Banner gelöscht werden, um auf jegliche Herausgabe von Informationen zu verzichten (Banner Suppression). Andererseits kann der Banner angepasst werden, um falsche Informationen herauszugeben (Banner Spoofing). Die folgende Liste zeigt die Vor- und Nachteile der jeweiligen Ansätze:

• Banner löschen (⇒ 220 mailtest.scip.ch ESMTP)
  • Vorteile (+)
    • Intelligente Scanner testen evtl. gar nichts (z.B. Nessus mit safe_checks)
    • Minimierung der Ressourcenbelastung bei Bannerherausgabe (System, Netzwerk)
  • Nachteile (-)
    • Intelligente/Aggressive Scanner testen evtl. alles (z.B. Nikto im Standardmodus)
    • Legitime Scans generieren evtl. False-Negatives (z.B. Nessus, Qualys)
    • Legitimes Debugging gestaltet sich schwieriger

• Banner ändern (⇒ 220 scip.ch Microsoft ESMTP MAIL Service, Version: 5.0.2195.6713)
  • Vorteile (+)
    • Intelligente Scanner testen falsche Schwachstellen (z.B. Nikto ohne -generic Argument)
    • Zielgerichtete Angreifer verschwenden ihre Zeit
  • Nachteile (-)
    • Intelligente Scanner testen trotzdem (z.B. Nessus ohne optimize the test Option)
    • Angreifer werden evtl. angespornt (Skript-Kiddies und semi-professionelle Angreifer)
    • Legitime Scans generieren viele False-Positives und False-Negatives (z.B. Nessus, Qualys)
    • Legitimes Debugging gestaltet sich schwieriger

Unsere Empfehlung: Schauen Sie sich die Vor- und Nachteile der unterschiedlichen Ansätze an. Besprechen Sie im Team, welche Massnahme ein Mehr an Nutzen zu gewähren in der Lage ist. Sie kann je nach Unternehmen, Server und Dienst unterschiedlich ausfallen. Setzen Sie die beste Massnahme um.

Etwa 70% unserer Kunden sind der Meinung, dass generische Applikationsbanner ein akzeptierbares Risiko darstellen. Von den restlichen Kunden sind 27% um das Löschen und nur 3% um das Ändern des Banners bemüht.

Über den Autor

Marc Ruef ist seit Ende der 1990er Jahre im Cybersecurity-Bereich aktiv. Er hat vor allem im deutschsprachigen Raum aufgrund der Vielzahl durch ihn veröffentlichten Fachpublikationen und Bücher – dazu gehört besonders Die Kunst des Penetration Testing – Bekanntheit erlangt. Er ist Dozent an verschiedenen Fakultäten, darunter ETH, HWZ, HSLU und IKF. (ORCID 0000-0002-1328-6357)

Links

• http://cirt.net/nikto2
• http://static.tenable.com/documentation/nessus_5.0_installation_guide.pdf
• http://www.debianhelp.co.uk/nikto.htm
• https://www.computec.ch/download.php?view.110
• https://www.youtube.com/watch?v=zW-3zjQhpMA