Archiv der Kategorie: Workaround

Usability and Addons Integration unblog Technical Workarounds and Tutorials for Professionals

Workaround

RDS-Exploit BlueKeep (CVE-2019-0708) finden mit RDPScan

Home  »  Workaround
Schreibe einen Kommentar

RDS-Exploit für RDP-Leck BlueKeep in Windows mit RDPScan aufspüren

Microsoft veröffentlichte am Patchday im Mai außergewöhnliche Sicherheitsupdates für eigentlich ausgelaufe Produkte wie Windows XP und Server 2003. Der Grund ist eine als „kritisch“ eingestufte Sicherheitslücke (CVE-2019-0708) in der Fernwartungsfunktion Remote Desktop Services (RDP). Windows 8.1 und 10 sind davon nicht betroffen.

Schwachstelle RDS-Exploit BlueKeep

Die Schwachstelle CVE-2019-0708 wird von Microsoft als außerordentlich kritisch eingeschätzt, so dass der Hersteller sogar Security Updates (KB4500331 und KB 4499180) für Windows XP, Vista und Server 2003 bereitstellte, obwohl für sie der Support schon abgelaufen ist.

Mit RDPScan RDP-Schwachstelle Bluekeep CVE-2019-0708 suchen

Die Wurm-Attacke wie WannaCry soll sich möglichst nicht wiederholen. Deshalb liefert Microsoft auch Patches gegen eine massive Lücke im Remote Desktop Protokoll. Betroffen sind nur ältere Systeme bis einschließlich Windows 7 und die auch nur, wenn Sie RDP nutzen. Ob eines Ihrer Systeme betroffen ist, können Sie mit dem Kommandozeilen-Tool rdpscan testen. Der Sicherheitsexperte Robert David Graham stellt dieses Tool bereit.

ZIP-Datei auf Windows auspacken

Das Tool RDPScan für RDS-Exploit BlueKeep in der ZIP-Datei auf dem Windows System entpacken. Die Ausführung gibt es nur von der Kommandozeile aus, es gibt keine GUI. Die Handhabung ist trotzdem nicht besonders schwer. Der Befehl lautet „rdpscan IP-Adressbereich“. Um beispielsweise ein typisches Netzwerk zu scannen, genügt also „rdpscan 192.168.1.1-192.168.1.254“ für die vergebenen Adressen. Beachte, dass die IP-Adressen entsprechend der Netzwerkkonfiguration anpasst werden müssen. Der Befehl „ipconfig“ gibt die Netzwerk Adressse aus.

RDPScan Ausführung

Mit dem Open-Source Tool rdpscan können Admins ihr Netzwerk nach PCs absuchen. Es ist ein Kommando­zeilen­programm, mit diesem man einzelne IP-Adresse oder einen IP-Bereich als Parameter übergibt, so zum Beispiel:

C:\> rdpscan 192.168.1.1-192.168.1.254
192.168.1.123 - VULNERABLE - got appid
192.168.1.5 - VULNERABLE - got appid
192.168.1.22 - VULNERABLE - got appid
192.168.1.220 - SAFE - Target appears patched
192.168.1.222 - SAFE - Target appears patched
192.168.1.29 - UNKNOWN - RDP protocol error - failed to extract public-key
192.168.1.66 - SAFE - CredSSP/NLA required
192.168.1.62 - SAFE - CredSSP/NLA required
192.168.1.231 - SAFE - Target appears patched
192.168.1.23 - SAFE - Target appears patched
192.168.1.24 - SAFE - Target appears patched

VULNERABLE – got appid bedeutet, dass das System CVE-2019-0708 verwundbar ist.

Die Ausgabe SAFE – CredSSP/NLA required bedeutet, dass auf dem Rechner die Network Level Authentication (NLA) aktiviert wurde, dabei der RDP-Scanner nicht eindeutig feststellen kann, ob die Schwachstelle wircklich geschlossen ist.

 Dies führt zu einem von drei Ergebnissen für jede Adresse:

  • SICHER – wenn das Ziel festgestellt ist, dass der Bot gepatcht werden muss oder zumindest CredSSP/NLA erfordert
  • VULNERABLE – wenn bestätigt wurde, dass das Ziel angreifbar ist
  • UNBEKANNT – wenn das Ziel nicht antwortet oder ein Protokollfehler vorliegt
Workaround

Computername in der Taskleiste

Home  »  Workaround
Schreibe einen Kommentar

Computername in Taskleiste anzeigen

Für Helpdesk und Support Administratoren ist es wichtig zu wissen, an welchem Computer der Mitarbeiter gerade ist. Windows bringt keine Anzeige mit Onboard, welche Arbeitsplatzname, oder den Computername auf dem Desktop anzeigt. Es ist ein Ausflug in die Systemeinstellungen nötig. Oder es müssen Befehle in der Eingabeaufforderung eingegeben werden.

Computername in Taskleiste hinzufügen

Eine einfache möglichkeit Computernamen in der Taskleiste anzeigen zu lassen, gibt es über das anlegen einer neuen Symbolleiste. Zuvor muss aber noch ein Ordner angelegt werden. Mit ausführen folgender Befehlszeile in einem mit Win+Rcmd geöffneten Command Prompt.

mkdir %APPDATA%\%COMPUTERNAME%

Nun klickt man in der Taskleiste die rechte Maustaste, und geht auf Symbolleisten und Neue Symbolleiste.

Computername in Taskleiste anzeigen

In der Adresszeile geben wir %APPDATA% als Pfad ein und wählen den Ordner mit dem Computername und klicken auf Ordner auswählen.

Computername in Taskleiste anzeigen, Ordner auswählen

Nun erscheint der Computername schon in der Taskleiste. Wenn die Taskleiste nicht fixiertist ist, mit rechtsklick die Taskleiste fixieren. Nun kann die Symbolleiste mit dem Computername an die gewünschte Position gebracht werden.

netlogon Anmeldescript

Zusätzlich können Statusinformationen zum authentifizierten Benutzer ausgegeben werden, zu dem Computername über die Taskleiste. Folgende Zeilen in eine Batch Datei speichern, und in den netlogon Anmeldescript aufnehmen.

@echo off
   IF NOT EXIST %APPDATA%\%COMPUTERNAME%\ (
   mkdir %APPDATA%\%COMPUTERNAME%
   ) ELSE (
   echo Directory %COMPUTERNAME% exist
   )
 PowerShell -ExecutionPolicy Unrestricted -Command "Get-NetIPAddress | Select-Object InterfaceIndex,InterfaceAlias,IPAddress | Sort-Object -Property InterfaceIndex | Out-File -FilePath $env:APPDATA\$env:COMPUTERNAME\$env:USERNAME.txt"
 PowerShell -ExecutionPolicy Unrestricted -Command "Get-PSDrive | Where {$_.Free -gt 0} | Out-File -Append -FilePath $env:APPDATA\$env:COMPUTERNAME\$env:USERNAME.txt"
 wmic useraccount where (name='%username%' and domain='%userdomain%') get domain,name,sid >> %APPDATA%\%COMPUTERNAME%\%USERNAME%.txt

$env:APPDATA\$env:COMPUTERNAME

Ein PowerShell Script Set-StatusToolbar.ps1 erzeugt das Verzeichnis und die Datei identisch zum Batch.

$DirToCreate="$env:APPDATA\$env:COMPUTERNAME"
 if (!(Test-Path $DirToCreate -PathType Container)) {
     New-Item -ItemType Directory -Force -Path $DirToCreate
 }
$ifcfg=(Get-NetIPAddress | Select-Object InterfaceIndex,InterfaceAlias,IPAddress | Sort-Object -Property InterfaceIndex);
$drive=(Get-PSDrive | Where {$_.Free -gt 0});
$usrid=([wmi] "win32_userAccount.Domain='$env:UserDomain',Name='$env:UserName'");
$ifcfg | Out-File -FilePath $env:APPDATA\$env:COMPUTERNAME\$env:USERNAME.txt
$drive | Out-File -Append -FilePath $env:APPDATA\$env:COMPUTERNAME\$env:USERNAME.txt
$usrid | Out-File -Append -FilePath $env:APPDATA\$env:COMPUTERNAME\$env:USERNAME.txt

Den PowerShell Script ausführen mit .\Set-StatusToolbar.ps1

In diesem Beitrag wird gezeigt, wie Helpdesk- und Support-Administratoren schnell mit einem Blick erkennen können, an welchem Computernamen der Benutzer gerade arbeitet. Bei Windows ist es nicht vorgesehen, den Computernamen auf dem Desktop oder in der Taskleiste anzuzeigen. Dazu muss man zunächst in die Systemeinstellungen gehen. Oder es werden Befehle in der Eingabeaufforderung nötig. Um herauszufinden, wie der Computer gerade heißt. Mit dieser einfachen Lösung kann der Computername sofort und ohne Klicks ermittelt werden.