Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Almost One Million Vulnerable to BlueKeep Vuln (CVE-2019-0708)" --> Sofern nicht bereits passiert, bitte Updates installieren (zumal bereits ein MEtasploit Modul existiert, was das ganze noch vereinfacht). VG Bernd p.s.: Ich versuche Infos zu bekommen, ob RWTH-IP's betroffen sind (betroffene Personen werden dann direkt angeschrieben. [0] https://blog.erratasec.com/2019/05/almost-one-million-vulnerable-to.html [2] https://github.com/rapid7/metasploit-framework/pull/11869/files/d0e2a36cdd8b... -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler@itc.rwth-aachen.de https://www.itc.rwth-aachen.de
Hi, wir haben gestern mal munter mit dem Scanner von R. Graham (erratasec)
1k Systeme in der RWTH gefunden. Die Admins wurden informiert.
Genau ein (in Zahlen: 1) System war weltweit erreichbar, die Freischaltung wurde entzogen. Aktives "exploitieren" der Verwundbarkeit wurde noch nicht gesehen, allerdings scheint das Potential hoch. Gruß, Jens Hektor P.S. FAQ: Q: da ist doch ne Firewall vor, oder? A: ja P.P.S. a) der Firewallhersteller erkennt das Exploit wohl in der non-SSL Variante, so etwas liegt hier aber eher selten vor. Beim Aufbrechen der Verschlüsselung an sich ist man noch nicht soweit. Mal ganz abgesehen vom Key-Management bei RDP. b) der Security-Check via Greenbone fand die Systeme nicht. Da vor allem Systeme mit Erreichbarkeit aus dem Internet gecheckt werden, betrifft das die wenigsten. P.P.S. Danke an alle, die schon gepatcht haben. P.P.P.S An die, die noch nicht gepatcht ahen: # # # # ##### ####### ### # # # # # # # ### # # # # # # ### ####### # # ##### # # # # # # # # # # # # # # # ### # # ##### ##### # ### Am 28.05.19 um 13:44 schrieb Bernd Kohler:
Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
"Almost One Million Vulnerable to BlueKeep Vuln (CVE-2019-0708)"
--> Sofern nicht bereits passiert, bitte Updates installieren (zumal bereits ein MEtasploit Modul existiert, was das ganze noch vereinfacht).
VG
Bernd
p.s.: Ich versuche Infos zu bekommen, ob RWTH-IP's betroffen sind (betroffene Personen werden dann direkt angeschrieben.
[0] https://blog.erratasec.com/2019/05/almost-one-million-vulnerable-to.html
[2] https://github.com/rapid7/metasploit-framework/pull/11869/files/d0e2a36cdd8b...
Hi, Am 30.05.19 um 02:00 schrieb Jens Hektor:
gt 1k Systeme in der RWTH gefunden. Die Admins wurden informiert.
Body Count war heute nachmittag 709. Erstmal ein dickes Danke an alle, die schon gepatcht haben: ###### ### # # ## # # # # ###### ### # # # # ## # # # # ### # # # # # # # #### ##### # # # ###### # # # # # # # # # # # ## # # # ### ###### # # # # # # ###### ### :-)
Genau ein (in Zahlen: 1) System war weltweit erreichbar, die Freischaltung wurde entzogen.
Bereits gepatcht und wieder freigeschaltet.
Aktives "exploitieren" der Verwundbarkeit wurde noch nicht gesehen, allerdings scheint das Potential hoch.
Die meint laut Heise Microsoft auch: https://www.heise.de/security/meldung/Eine-Million-verwundbare-Rechner-Micro... Leute, falls Ihr eine Firewall aber auch VPN habt, denkt auch an Eure User. Auch über diesen Weg kann es reinkommen. Macht Eure Systeme sicher. Wer selber bei eigener Firewall, durch die das NOC nicht durchgucken kann, checken will (insbesondere die Kollegen aus Wohnheimen, Fraunhofer usw.) hier die URL der Software, die wir benutzen: https://github.com/robertdavidgraham/rdpscan Gruß, Jens Hektor
Hi, Am 04.06.19 um 23:26 schrieb Jens Hektor:
Body Count war heute nachmittag 709.
Und heute war er 720. Q: Ups? Wie kommt so was? Noch mehr? A: Nun ganz einfach. Wir haben mal nicht um 15:00 den Scan gestartet, sondern schon um 13:00. Da der Scan 2h dauert, erwischen wir mehr ;-) Die Gesamtzahl der IPs, die wir gesehen haben, liegt mittlerweile > 1200, heute sahen wir, wie gesagt, 720. Da waren aber auch ca. 140 "neue" IPs dabei. Also es passiert auch was. Es gibt leider einige Einrichtungen, wo das 2-stellig dann doch eher 3-stellig ist oder zu werden droht. Anyway. Wir bleiben da mal dran, denn nach all den Stories drumherum (wir erbitten ja Feedback) schwankt das zwischen Erledigt Windows Update war disabled User hatte Updates disabled Platte voll und so weiter. Oder kurz (aber nicht klein): # # # # ## # #### # # ##### ##### ## ##### ###### #### # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # ##### #### # # # # # # # ##### # # ###### # # # # ## # # # # # # # # # # # # # # # #### ##### # ##### # # # ###### #### # # # #### ##### ## # # ###### ##### # ## # # # # # # # # # # # # # # #### # # # # # ##### # # # # # # # # ###### # # # # # # # ## # # # # # # # # # # # # # #### # # # ###### ###### ###### ##### Aua. Tststs. Gruß, Jens Hektor P.S. Bald kommt ggf wieder E-Mail.
Hallo, wir haben Anzeichen dafür, dass der bei Windows 7 32-bit Systemen der angegebene KB4499175, der seinerseits wiederum nur von 64-bit spricht, nicht wirkt. Hat irgendjemand hier erfolgreich ein Win7/32 gepatcht? Gruß, Jens Hektor -- Dipl.-Phys. Jens Hektor, Networks IT Center, RWTH Aachen University Room 2.04, Wendlingweg 10, 52074 Aachen (Germany) Phone: +49 241 80 29206 - Fax: +49 241 80 22666 http://www.itc.rwth-aachen.de - hektor@itc.rwth-aachen.de
Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "Build an easy RDP Honeypot with Raspberry PI 3 and observe the infamous attacks as (BlueKeep) CVE-2019–0708" VG Bernd [0] https://medium.com/@alt3kx/build-an-easy-rdp-honeypot-with-raspberry-pi-3-an... -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler@itc.rwth-aachen.de https://www.itc.rwth-aachen.de
Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "reliable RCE on Windows 7 / Server 2008" - PoC VG Bernd [0] https://video.twimg.com/ext_tw_video/1135685878720946178/pu/vid/1280x720/aAr... -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler@itc.rwth-aachen.de https://www.itc.rwth-aachen.de
Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "BlueKeep (CVE 2019-0708) exploitation spotted in the wild" (Metasploit Module [1] vom 23.09.2019) VG Bernd [0] https://www.kryptoslogic.com/blog/2019/11/bluekeep-cve-2019-0708-exploitatio... [1] https://gbhackers.com/metasploit-exploit-bluekeep/ [2] https://github.com/rapid7/metasploit-framework/pull/12283 -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler@itc.rwth-aachen.de https://www.itc.rwth-aachen.de
Hallo zusammen, sofern nicht selber schon gesehen/-lesen hier [0] FYI "It’s time to disconnect RDP from the internet" (Free BlueKeep Detection Tool bereitgestellt durch ESET) VG Bernd [0] https://www.welivesecurity.com/2019/12/17/bluekeep-time-disconnect-rdp-inter... -- Bernd Kohler IT Center Abteilung: Netze RWTH Aachen University Wendlingweg 10 52074 Aachen Tel: +49 241 80-29793 Fax: +49 241 80-22666 kohler@itc.rwth-aachen.de https://www.itc.rwth-aachen.de
participants (2)
-
Bernd Kohler -
Jens Hektor