Exploit-Code für RDP-Leck BlueKeep in Windows aufspüren
Microsoft veröffentlichte am Patchday im Mai außergewöhnliche Sicherheitsupdates für eigentlich ausgelaufe Produkte wie Windows XP und Server 2003. Der Grund ist eine als „kritisch“ eingestufte Sicherheitslücke (CVE-2019-0708) in der Fernwartungsfunktion Remote Desktop Services (RDP). Windows 8.1 und 10 sind davon nicht betroffen.
Die Schwachstelle CVE-2019-0708 wird von Microsoft als außerordentlich kritisch eingeschätzt, so dass der Hersteller sogar Security Updates (KB4500331 und KB 4499180) für Windows XP, Vista und Server 2003 bereitstellte, obwohl für sie der Support schon abgelaufen ist.
Mit dem Open-Source Tool rdpscan können Admins ihr Netzwerk nach PCs absuchen. Es ist ein Kommandozeilenprogramm, mit diesem man einzelne IP-Adresse oder einen IP-Bereich als Parameter übergibt, so zum Beispiel:
rdpscan 192.168.1.1-192.168.1.254 192.168.1.123 - VULNERABLE - got appid 192.168.1.5 - VULNERABLE - got appid 192.168.1.22 - VULNERABLE - got appid 192.168.1.220 - SAFE - Target appears patched 192.168.1.222 - SAFE - Target appears patched 192.168.1.29 - UNKNOWN - RDP protocol error - failed to extract public-key 192.168.1.66 - SAFE - CredSSP/NLA required 192.168.1.62 - SAFE - CredSSP/NLA required 192.168.1.231 - SAFE - Target appears patched 192.168.1.23 - SAFE - Target appears patched 192.168.1.24 - SAFE - Target appears patched
VULNERABLE – got appid bedeutet, dass das System CVE-2019-0708 verwundbar ist.
Die Ausgabe SAFE – CredSSP/NLA required bedeutet, dass auf dem Rechner die Network Level Authentication (NLA) aktiviert wurde, dabei der RDP-Scanner nicht eindeutig feststellen kann, ob die Schwachstelle wircklich geschlossen ist.