Alle Beiträge von ENDLESSL00P

Giuseppe Casutt, Dipl.-HTL-Ing. bei A-Enterprise GmbH. Blog Author zu den Themen, Windows, VMware, Synology, Fortinet und Open Source. Tutorials und HowTos zu Problemlösungen und System Integration.

RDS-Exploit BlueKeep (CVE-2019-0708) finden mit RDPScan

Exploit-Code für RDP-Leck BlueKeep in Windows aufspüren

Microsoft veröffentlichte am Patchday im Mai außergewöhnliche Sicherheitsupdates für eigentlich ausgelaufe Produkte wie Windows XP und Server 2003. Der Grund ist eine als „kritisch“ eingestufte Sicherheitslücke (CVE-2019-0708) in der Fernwartungsfunktion Remote Desktop Services (RDP). Windows 8.1 und 10 sind davon nicht betroffen.

Die Schwachstelle CVE-2019-0708 wird von Microsoft Corporation 136,97 +0,02 +0,01% als außer­ordentlich kritisch eingeschätzt, so dass der Hersteller sogar Security Updates (KB4500331 und KB 4499180) für Windows XP, Vista und Server 2003 bereitstellte, obwohl für sie der Support schon abgelaufen ist.

Mit dem Open-Source Tool rdpscan können Admins ihr Netzwerk nach PCs absuchen. Es ist ein Kommando­zeilen­programm, mit diesem man einzelne IP-Adresse oder einen IP-Bereich als Parameter übergibt, so zum Beispiel:

VULNERABLE – got appid bedeutet, dass das System CVE-2019-0708 verwundbar ist.

Die Ausgabe SAFE – CredSSP/NLA required bedeutet, dass auf dem Rechner die Network Level Authentication (NLA) aktiviert wurde, dabei der RDP-Scanner nicht eindeutig feststellen kann, ob die Schwachstelle wircklich geschlossen ist.

 

Windows Computername in der Taskleiste

Computername in Windows Taskleiste anzeigen

Für Helpdesk und Support oder für Administratoren ist es wichtig zu wissen, an welchem Computer der Mitarbeiter gerade ist. Windows bringt keine Anzeige mit Onboard, welche Arbeitsplatzname, oder den Computername auf dem Desktop anzeigt, ohne das ein Ausflug in die Systemeinstellungen nötig wird, oder man Befehle in der Eingabeaufforderung eingeben muss.

Eine einfache möglichkeit Computernamen in der Taskleiste anzeigen zu lassen, gibt es über das anlegen einer neuen Symbolleiste, zuvor muss aber noch ein Ordner angelegt werden, dieser durch ausführen folgender Befehlszeile in einem Command Prompt erstellt wird.

Nun klickt man in der Taskleiste die rechte Maustaste, und geht auf Symbolleisten und Neue Symbolleiste.

In der Adresszeile geben wir %APPDATA% als Pfad ein und wählen den Ordner mit dem Computername und klicken auf Ordner auswählen.

Nun ist der Computername schon in der Taskleiste, wenn die Taskleiste nicht fixiertist ist, mit rechtsklick Taskleiste fixieren, kann die Symbolleiste mit dem Computername an die gewünschte Position gebracht werden.

Eigenes Passwort lokal Pwned checken

Passwort Online in Leak-Datenbank auf Pwned überprüfen

Milliarden von Zugangsdaten sind im Internet im Umlauf, gerade gab ein Leak mit über 770 Millionen Konten Anlass zur Sorge. Wer überprüfen möchte, ob sein eigener Accont sich darunter befindet, kann zur Webseite Have I Been Pwned von Troy Hunt gehen, der Sicherheitsexperte sammelt diese Passwörter und stellt sie in einer Datenbank mit rund 6,5 Milliarden geknackten Accounts und Mail-Adressen zur verfügung.

Bei Pwned Passwords gibt man ein Passwort ein, damit erfährt man, ob es sich in der erfassten Leak-Datenbank befindet. Ein Suchtreffer heisst noch nicht, dass der eigene Account tatsächlich geknackt wurde. Es kann sich auch um Accounts anderer User handeln, die zufällig das selbe Passwort nutzen, und es somit verbrannt ist. Es ist also davon auszugehen, dass das Passwort in den Sammlungen der Hacker ist und es zur Anwendung kommt, und mit Brute-Force-Attacken der Zugang rasch geknackt ist.

Passwort lokal auf Pwned überprüfen

Wie bekanntlich ist es eine schlechte Idee, einer Webseite geheime Passwörter zu verraten, um deren Sicherheit zu überprüfen. Eine elegante Lösung für dieses Problem bietet der Entwickler Hector Martin auf Github. Er nutzt ein Bloom-Filter um die Datenmassen effizient zu durchsuchen. Man benötigt lediglich ein Linux Rechner mit Python 3.x, die Datei bloom.py und die Bloom-Filterliste, die zum Download bereitstehen.

Nach dem Download des Python Script bloom.py von Hector Martin und der Bloom-Filterlist, führt man im Terminal folgendes Command aus:

Bei einem komplexen Passwort wird als Resultat Not found wie folgt ausgegeben:

Den hier gezeigten Passwort Pwned Check wurde auf Fedora 30 (Thirty) Chinnamon Spin mit Python 3 ausgeführt.

So lässt sich ressourcensparend bestimmen, ob bestimmte Passwörter in einschlägigen Quellen kursieren, ohne den gesamten Passwort-Hash preisgeben zu müssen. Die False-Positive-Rate soll mit pwned-passwords-2.0-k16.bloom bei 0,000015 sein.

  Pwned-Passwörter sind reale Passwörter, die zuvor anhand von Datenschutzverletzungen offengelegt (geknackt) wurden. Aufgrund dieser Gefährdung sind sie für die weitere Verwendung ungeeignet, da das Risiko zur Übernahme anderer Konten sehr wahrscheinlich ist. Das Wort pwned bedeutet das gleiche wie owned. Der englische Ausdruck owned stammt aus der Gaming-Szene und bedeutet, dass jemand besiegt wurde, sinngemäß erwischt, besiegt. Das Wort pwned entstand durch einen Zufall. Da die Buchstaben o und p auf der Tastatur direkt nebeneinander liegen, sorgte ein Tippfehler dafür, dass aus owned pwned wurde, vermultich soll das p auch für Password stehen.