RDS-Exploit BlueKeep (CVE-2019-0708) finden mit RDPScan

()

RDS-Exploit für RDP-Leck BlueKeep in Windows mit RDPScan aufspüren

Microsoft veröffentlichte am Patchday im Mai außergewöhnliche Sicherheitsupdates für eigentlich ausgelaufe Produkte wie Windows XP und Server 2003. Der Grund ist eine als „kritisch“ eingestufte Sicherheitslücke (CVE-2019-0708) in der Fernwartungsfunktion Remote Desktop Services (RDP). Windows 8.1 und 10 sind davon nicht betroffen.

Schwachstelle RDS-Exploit BlueKeep

Die Schwachstelle CVE-2019-0708 wird von Microsoft als außerordentlich kritisch eingeschätzt, so dass der Hersteller sogar Security Updates (KB4500331 und KB 4499180) für Windows XP, Vista und Server 2003 bereitstellte, obwohl für sie der Support schon abgelaufen ist.

Mit RDPScan RDP-Schwachstelle Bluekeep CVE-2019-0708 suchen

Die Wurm-Attacke wie WannaCry soll sich möglichst nicht wiederholen. Deshalb liefert Microsoft auch Patches gegen eine massive Lücke im Remote Desktop Protokoll. Betroffen sind nur ältere Systeme bis einschließlich Windows 7 und die auch nur, wenn Sie RDP nutzen. Ob eines Ihrer Systeme betroffen ist, können Sie mit dem Kommandozeilen-Tool rdpscan testen. Der Sicherheitsexperte Robert David Graham stellt dieses Tool bereit.

ZIP-Datei auf Windows auspacken

Das Tool RDPScan für RDS-Exploit BlueKeep in der ZIP-Datei auf dem Windows System entpacken. Die Ausführung gibt es nur von der Kommandozeile aus, es gibt keine GUI. Die Handhabung ist trotzdem nicht besonders schwer. Der Befehl lautet „rdpscan IP-Adressbereich“. Um beispielsweise ein typisches Netzwerk zu scannen, genügt also „rdpscan 192.168.1.1-192.168.1.254“ für die vergebenen Adressen. Beachte, dass die IP-Adressen entsprechend der Netzwerkkonfiguration anpasst werden müssen. Der Befehl „ipconfig“ gibt die Netzwerk Adressse aus.

RDPScan Ausführung

Mit dem Open-Source Tool rdpscan können Admins ihr Netzwerk nach PCs absuchen. Es ist ein Kommando­zeilen­programm, mit diesem man einzelne IP-Adresse oder einen IP-Bereich als Parameter übergibt, so zum Beispiel:

C:\> rdpscan 192.168.1.1-192.168.1.254
192.168.1.123 - VULNERABLE - got appid
192.168.1.5 - VULNERABLE - got appid
192.168.1.22 - VULNERABLE - got appid
192.168.1.220 - SAFE - Target appears patched
192.168.1.222 - SAFE - Target appears patched
192.168.1.29 - UNKNOWN - RDP protocol error - failed to extract public-key
192.168.1.66 - SAFE - CredSSP/NLA required
192.168.1.62 - SAFE - CredSSP/NLA required
192.168.1.231 - SAFE - Target appears patched
192.168.1.23 - SAFE - Target appears patched
192.168.1.24 - SAFE - Target appears patched

VULNERABLE – got appid bedeutet, dass das System CVE-2019-0708 verwundbar ist.

Die Ausgabe SAFE – CredSSP/NLA required bedeutet, dass auf dem Rechner die Network Level Authentication (NLA) aktiviert wurde, dabei der RDP-Scanner nicht eindeutig feststellen kann, ob die Schwachstelle wircklich geschlossen ist.

 Dies führt zu einem von drei Ergebnissen für jede Adresse:

  • SICHER – wenn das Ziel festgestellt ist, dass der Bot gepatcht werden muss oder zumindest CredSSP/NLA erfordert
  • VULNERABLE – wenn bestätigt wurde, dass das Ziel angreifbar ist
  • UNBEKANNT – wenn das Ziel nicht antwortet oder ein Protokollfehler vorliegt

Wie hilfreich war dieser Beitrag?

Klicke auf die Sterne um zu bewerten!

Durchschnittliche Bewertung / 5. Anzahl Bewertungen:

Bisher keine Bewertungen! Sei der Erste, der diesen Beitrag bewertet.

Es tut uns leid, dass der Beitrag für dich nicht hilfreich war!

Lasse uns diesen Beitrag verbessern!

Wie können wir diesen Beitrag verbessern?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert