Labs: Banner unterdrücken oder ändern?
am Donnerstag, 21. Juni 2012
von Marc Ruef | G+
Im Rahmen unserer Vulnerability Scans taucht ein Finding immerwieder auf: Banner-Grabbing. Durch das Herstellen einer Verbindung auf einen Zeilport heisst die Zielanwendung den Benutzer mit einem Banner willkommen. In diesem sind Informationen zum eingesetzten Produkt und eventuell gar zur genutzten Version sowie zusätzlichen Informationen (z.B. Bugfixes, Plattform) enthalten. Beispiel des Banners eines SMTP-Mailservers:
maru@debian:~$ telnet mailtest.scip.ch 25 220 mailtest.scip.ch ESMTP Sendmail 8.12.3/8.12.3/Debian-7.1
Laut unserer Schwachstellenklassifizierung erhält ein Banner-Grabbing die Einstufung Medium. Diese Form der Auswertung (im weitesten Sinn handelt es sich um ein patternbasiertes Application Fingerprinting) bietet eine elementare Grundlage, um zielgerichtete Angriffe vorzubereiten und anzugehen. Ein Angreifer erlangt damit drei Vorteile:
- Lohnenswerte Ziele können identifiziert werden
- Angriffstechniken lassen sich auf Technologien/Produkte/Versionen/Einstellungen ausrichten
- Unnötige Zugriffs-/Angriffsversuche können gespart werden
Wir empfehlen den betroffenen Kunden jeweils auf die Herausgabe sensitiver/technischer Informationen zur Zielumgebung zu verzichten (z.B. Banner, Fehlermeldungen). Dies bedeutet, dass Angreifern die jeweiligen Bannerinformationen nicht zur Verfügung gestellt werden sollten.
In diesem Zusammenhang erschliessen sich jedoch unterschiedliche Lösungswege. Einerseits kann der Banner gelöscht werden, um auf jegliche Herausgabe von Informationen zu verzichten (Banner Suppression). Andererseits kann der Banner angepasst werden, um falsche Informationen herauszugeben (Banner Spoofing). Die folgende Liste zeigt die Vor- und Nachteile der jeweiligen Ansätze:
- Banner löschen (⇒
220 mailtest.scip.ch ESMTP)- Vorteile (+)
- Intelligente Scanner testen evtl. gar nichts (z.B. Nessus mit
safe_checks) - Minimierung der Ressourcenbelastung bei Bannerherausgabe (System, Netzwerk)
- Intelligente Scanner testen evtl. gar nichts (z.B. Nessus mit
- Nachteile (-)
- Vorteile (+)
- Banner ändern (⇒
220 scip.ch Microsoft ESMTP MAIL Service, Version: 5.0.2195.6713)- Vorteile (+)
- Intelligente Scanner testen falsche Schwachstellen (z.B. Nikto ohne
-genericArgument) - Zielgerichtete Angreifer verschwenden ihre Zeit
- Intelligente Scanner testen falsche Schwachstellen (z.B. Nikto ohne
- Nachteile (-)
- Intelligente Scanner testen trotzdem (z.B. Nessus ohne optimize the test Option)
- Angreifer werden evtl. angespornt (Skript-Kiddies und semi-professionelle Angreifer)
- Legitime Scans generieren viele False-Positives und False-Negatives (z.B. Nessus, Qualys)
- Legitimes Debugging gestaltet sich schwieriger
- Vorteile (+)
Unsere Empfehlung: Schauen Sie sich die Vor- und Nachteile der unterschiedlichen Ansätze an. Besprechen Sie im Team, welche Massnahme ein Mehr an Nutzen zu gewähren in der Lage ist. Sie kann je nach Unternehmen, Server und Dienst unterschiedlich ausfallen. Setzen Sie die beste Massnahme um.
Etwa 70% unserer Kunden sind der Meinung, dass generische Applikationsbanner ein akzeptierbares Risiko darstellen. Von den restlichen Kunden sind 27% um das Löschen und nur 3% um das Ändern des Banners bemüht.
(464 Wörter)
Links:
- http://cirt.net/nikto2
- http://static.tenable.com/documentation/nessus_5.0_installation_guide.pdf
- http://www.computec.ch/download.php?view.110
- http://www.debianhelp.co.uk/nikto.htm
- http://www.youtube.com/watch?v=zW-3zjQhpMA
Tags: Dienstleistung, Fingerprinting, Mail, Microsoft, Nessus, PDF, Qualys, Risiko, YouTube
- Letzte Beiträge
- Kurzanalyse des Windows Privilege Escalation Exploit
- Are we even moving?
- Interview zu Wardriving in der Schweiz
- Blog Digest Mai 2013
- Sicherheitsverantwortlichkeiten und Risikosteuerung
- Computer Forensik – Ein Überblick
- Vortrag zu Security Testing an SGRP Veranstaltung
- Staatstrojaner – Kritik am neuen Bundesgesetz
- Overview of Microsoft’s security toolkit EMET
- Blog Digest April 2013
- Archiv