no one is safe ...

first security assessment toolkit for virtual infrastructures

Es ist nicht lange her, da stellte ich in einem Blogeintrag die Gefährdung einer Directory Traversal Schwachstelle vor. Nun ist es "endlich" soweit und Metasploit wurde mit weiteren Modulen zur Auditierung von Virtualisierten Umgebungen ausgestattet. Die Beta Release der Vasto Erweiterungsmodule wurden bereits am 12.03.2010 vorgestellt. Da sie heute über die Security Database vorgestellt wurden, kamen sie auch mir unter und wurden dementsprechend erstmal im Labor einem kleinen Test unterzogen.

Wie so oft habe ich wieder ein paar Screenshots erstellt. Folgende Bilder stellen somit einige der mitgelieferten Module in einer Laborumgebung dar.

Installation der VASTO Module:

Die Installation gestaltet sich denkbar einfach, nach dem herunterladen und entpacken reicht es aus die Module in den Metasploit Verzeichnisbaum zu kopieren und die msfconsole neu zu starten.

Leider gibt es derzeit noch Unstimmigkeiten mit der eingesetzten Lizenz, wodurch es wohl erstmals zu keiner Integration in den MSF SVN kommen wird.

Vorhandene VMWare und Vasto Module in Metasploit:

Nach einem Start der msfconsole findet man nun neben dem Directory Traversal Modul (siehe hier) auch die neuen Vasto Module.



Versionsscanner Modul:

Eines der ersten Module die in einem Pentest zum Einsatz kommen wird das folgende Versionsscanning Modul darstellen.

Die Optionen die an dieser Stelle angegeben werden müssen gestalten sich sehr einfach und sind im einfachsten Fall nur der Netzwerkbereich (RHOSTS) der gescannt werden soll. Im Anschluss folgt auch schon der Scanvorgang der sehr detaillierte Systeminformationen bereitstellt.

Für dieses Modul würde ich mir auch eine Erweiterung auf die VMWare Server Ports 8222 und 8333 wünschen. Durch eine solche Erweiterung wäre es möglich mit mit einem Scanvorgang alle Server und ESX Systeme inkl. Versionsdetails zu ermitteln.

Login Scanner Modul:

Im Anschluss an die Erkennung der ESX Systeme ist einer der typischen nächsten Schritte die Ermittlung valider Logininformationen. Vasto bringt hierfür ein eigenes Modul mit, welches neben einer einzelnen Username/Passwort Kombination auch Dictionary Angriffe durchführen kann.

Auch für dieses Modul fände ich eine Erweiterung für VMWare Server sehr sexy.

Fake Attack:

Auch wenn dieser Angriff noch etwas Nacharbeit erfordert ist er wohl einer der schönsten und kombiniert mehrere Metasploit Bereiche sehr eindrucksvoll. Im ersten Schritt muss man in einer zweiten Metasploit Konsole den Multi-Handler starten. Dieser Multi-Handler wird später die Reverse Meterpreter Verbindung entgegen nehmen.

Start des benötigten Multi Handlers in einer eigenen Metasploit Instanz:

Setup:
In der eigentlichen Metasploit Instanz müssen nun die benötigten Optionen wie Payload, LHOST, LPORT und SSL gesetzt werden.

Sobald das Modul mit dem Befehl "run" gestartet wird, wird von Metasploit der Webserver mit den gefakten Informationen (die nachgebildete ESX Webseite) bereit gestellt.

Download des VMWare Infrastructure Client:

Ein User der sich auf diese Webseite verbindet wird zum Download des VMWare Infrastructure Clients angehalten. An Stelle des Clients wird allerdings ein Meterpreter Payload ausgeliefert ;) Sehr schön :)

Meterpreter Shell - Priv Escalation:

Sobald der Meterpreter Payload heruntergeladen ist und ausgeführt wird kommt es nun zum Verbindungsaufbau über den Meterpreter Reverse Payload. Diesen Verbindungsaufbau (der beispielsweise die Windows XP Firewall umgeht) nimmt der im ersten Schritt gestartete, Multi-Handler entgegen und stellt uns dadurch einen verschlüsselten Zugriff auf das System zur Verfügung.

Sources: