Il Vulnerability Assessment è lo step successivo alla fase di information gathering durante questa fase vengono eseguite tutte quelle attività volte all'individuazione di vulnerabilità sui sistemi individuati. Inoltre, durante questa fase vengono eseguite anche le enumerazioni.

Questo step può essere eseguito in modalità automatica o manuale, spesso le due modalità si integrano per meglio individuare eventuali falsi positivi.

Gli Step

La scansione delle vulnerabilità segue un percorso quasi standardizzato, in parte sovrapposto alla parte di Information Gathering:

• Determinare se il target è attualmente online e raggiungibile.

• Esecuzione di una Port scanner per individuare i servizi attivi in base alla configurazione dello strumento.

• Esecuzione di un OS detection tramite fingerprinting dello stack di rete.

• Identificazione dei servizi individuati sulla macchina con comuni tecniche di banner grabbing, fail discovery e identificazione tramite comportamento.

• Esecuzione di un processo di match delle firme per l'individuazione di vulnerabilità.

L’individuazione delle vulnerabilità passa attraverso il march delle firme, per esempio con l’utilizzo di banner grabbing o la struttura dei pacchetti di risposta, questo può portare alla presenza di molti fasi positivi o negativi (causati anche dalla possibilità di modificare i banner o la presenza di pacchetti con backporting).

Alcuni scanner per ridurre questi possibili errori eseguono, subito dopo la rivelazione, un exploit della vulnerabilità, ma questo potrebbe mandare in crash il servizio.

Scansioni manuali vs scansioni automatiche

Durante il pentest è sempre bene bilanciare scansioni automatiche con quelle manuali.

Sicuramente il test manuale è preferibile per contesti in cui bisogna creare poco traffico di rete e dove le vulnerabilità sono complesse o soggette a logiche elaborate; quelle automatiche quando le dimensioni della rete da testare sono vasti e i tempi stretti sono la soluzione migliore, di contro le scansioni automatiche vanno ben configurate altrimenti si rischia di creare danni ai servizi o metterli sotto sforzo.

Scansione internet vs scansione interna

Gli scanner automatici possono gestire sia scansioni su rete locali che su internet, queste due tipologie di rete hanno anche effetti sulla scansione stessa, soglie di velocità, raggiungibilità degli host, permessi di accesso, interferenze.

Va considerata anche la posizione all’interno della rete, dispositivi come firewall o Intruder Prevent System (IPS) posso limitarci accessi o visibilità di porte e servizi, influenzando negativamente sul risultato finale della scansione. La posizione influenza anche come si possono identificare gli host della rete, localmente possiamo sfruttare protocolli come ICMP (ping) o ARP, su internet (essendo sottoreti differenti e a livelli più alti) non è possibile.

Scansione Autenticata vs Scansione Anonima

Molti scanner possono essere configurati per abilitare la scansione autenticata, per host linux basta abilitare ssh e usare delle credenziali valide (meglio se con alti privilegi), questo permetterà allo scanner di verificare versioni di pacchetti, corrette configurazioni, installazioni di aggiornamenti e patch alla scoperta di eventuali vulnerabilità. Su Windows si utilizza il Windows Management Instrumentation (WMI) anche in questo caso con credenziali privilegiate di Dominio o Locali con controllo remoto, ma questo potrebbe non bastare a causa delle configurazioni di UAC o firewall. Una volta configurato lo scanner per bypassare tutte le possibili impedenze potrà eseguire verifiche su applicazioni installate, patch, registro, dll o file nelle directory delle applicazioni.