Quelques statistiques et les évolutions à venir pour le projet Metasploit

Par Xavier Poli, secuobs.com
Le 07/06/2009

---

Résumé : Lors de sa présentation au SANS, HD Moore a révélé les futures évolutions du projet Metasploit qui visent à en faire un standard du domaine, avec entre autres des possibilités d'intégration dans des solutions externes comme Netifera, Maltego ou OpenVAS. - Lire l'article



Après avoir abandonné le langage PERL pour la branche 3.x, Metasploit est aujourd'hui le projet RUBY le plus important par la taille, 150 000 lignes et 450 modules pour la 2.8 contre 410 000 et 796 modules dont 175 auxiliaires pour la version actuelle, il délivre à une estimation de 50 000 utilisateurs ses dernières avancées. Depuis son lancement en 2003, la communauté l'a largement adopté, comme en atteste les 73 000 adresses IP uniques à l'avoir mis à jour via le SVN en 2009, alors que 650 000 visitaient le site officiel.

Outres les axes prioritaires de développement, WiFi, Man In The Middle et Fuzzing, il jouit par ailleurs d'un ensemble conséquent de codes ( lien ) pour le SGBDR Oracle. Le Web n'est pas en reste avec le format PDF, Browser AutoPWN ( lien ) ou le système modulaire WMAP ( lien ), qui s'interface avec Nikto ( lien ) et SQLMap ( lien ), supportant autant l'automatisation des injections SQL ( lien ) que l'exploitation de vulnérabilités plus récentes comme celle affectant WebDav et IIS ( lien ).

A noter aussi dans la version 3.2 de Metasploit, la ré-implémentation du chargeur WIN32 DLL avec l'intégration de la technique alternative de Stephen Fewer pour l'injection au sein des systèmes Microsoft Windows de DLL par reflection, technique que nous avions déjà évoquée ( lien ), l'ensemble des charges utiles relatives (Meterpreter, VNC, ...) ayant été mises à jour et ont fait leurs preuves depuis maintenant plus de huit mois.

Disponible depuis la 2.x pour exploiter les systèmes Microsoft Windows, Meterpreter a quant à lui vu ses capacités croître, notamment grâce aux scripts de Carlos Perez ( lien ) et aux fonctionnalités d'enregistrements distants avec des captures aux formats texte ( lien ) et audio ( lien ), voir vidéo. La branche 3.x devrait quant à elle voir l'intégration de Machterpreter, la version Mac OS non publiée à ce jour et développée par Charlie Miller et Dino Dai Zovi, deux experts en la matière.

Quant à Meterpretux ( lien ) pour les systèmes GNU/Linux, son développement est toujours en cours, un Meterpreter PHP a été par ailleurs annoncé pour la prochaine conférence DEFCON ( lien ) qui se tiendra aux mois de Juillet et Août prochains. Des avancées devraient également être constatées en ce qui concerne la vitesse d'initialisation de Metasploit, la dernière version stable, la 3.2, prenant en moyenne environ 15 secondes pour cela alors que la version de développement, la 3.3, tourne autour des 8 secondes.

Outre l'intégration d'un interpréteur RUBY distant dans Meterpreter, le support de la version 1.9.1 de RUBY devrait ramener cette initialisation dans un délai de 4 secondes. Des interpréteurs alternatifs comme IronRuby pour Microsoft .NET (Silverlight) et JRuby pour Java sont également à l'étude. Des évolutions sont aussi à prévoir en ce qui concerne les interactions avancées entre Metasploit et des outils externes de sécurité, autant propriétaires qu'Open Source.

La possible intégration de modules « commerciaux » est à prévoir. Toujours dans ce sens, Metasploit pourra par exemple tirer profit des fonctionnalités de recherches avancées d'informations offertes par Maltego ( lien ), les modules Metasploit pourront dès lors être directement lancés depuis Maltego à partir de l'extraction d'une liste de cibles distantes. Netifera ( lien ) ne devrait pas être en reste, puisqu'il pourra être utilisé afin d'explorer un réseau et relayer Metasploit.

Basé sur un fonctionnement modulaires, la gestion des fonctionnalités combinées de Metasploit requière des scripts personnalisés, AutoPwn ( lien ), Metascanner ( lien ), dès lors que l'on souhaite accomplir une tâche plus avancée, une nouvelle interface Web va voir le jour afin de faciliter cela en offrant par exemple le contrôle des activités de Karmetasploit ( lien ), les exploitations coté client, mais aussi la possibilité de gérer aisément un plus large nombre d'invites de commandes et de capturer du trafic réseau en regroupant méthodiquement les informations obtenues.

Outre WarVox ( lien ) pour le Wardialing sur IP et des fonctions analogiques similaires qui seront elles aussi présentées à DEFCON, l'exploitation des technologies DECT ( lien ) et Zigbee sera intégrée dès cette année. Un service XML-RPC avancé pour interagir avec des noeuds Metasploit distants devrait lui aussi faire son apparition ; au programme, API, support de l'authentification et chiffrement par des canaux de communication SSL. Les attaques devraient ainsi pouvoir être lancées depuis des réseaux externes ou depuis des navigateurs Web via une applet.

Dans la continuité des interactions Maltego ou Netifera, Metasploit devrait finalement pouvoir faire office de serveur OpenVAS ( lien ), le fork de la branche 2.x du scanner de vulnérabilité Nessus ( lien ), afin que des clients OpenVAS puissent effectuer un scan à travers les invites de commande disponibles (voir la copie d'écran page 26 du PDF). Le système de rapport d'OpenVAS devrait lui aussi être mis à contribution, les données issues de Metasploit devenant dès lors exportables au format OpenVAS pour faciliter l'interactivité.

Voir le PDF de la présentation « Metasploit : 6 years later » ( lien )

Source : Twitter HD Moore « presentation materials from the SANS Pen-Test Summit Future of Metasploit talk » ( lien )