Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
"Almost One Million Vulnerable to BlueKeep Vuln (CVE-2019-0708)"
--> Sofern nicht bereits passiert, bitte Updates installieren (zumal bereits ein MEtasploit Modul existiert, was das ganze noch vereinfacht).
VG
Bernd
p.s.: Ich versuche Infos zu bekommen, ob RWTH-IP's betroffen sind (betroffene Personen werden dann direkt angeschrieben.
[0] https://blog.erratasec.com/2019/05/almost-one-million-vulnerable-to.html
[2] https://github.com/rapid7/metasploit-framework/pull/11869/files/d0e2a36cdd8b...
Hi,
wir haben gestern mal munter mit dem Scanner von R. Graham (erratasec)
1k Systeme in der RWTH gefunden. Die Admins wurden informiert.
Genau ein (in Zahlen: 1) System war weltweit erreichbar, die Freischaltung wurde entzogen.
Aktives "exploitieren" der Verwundbarkeit wurde noch nicht gesehen, allerdings scheint das Potential hoch.
Gruß, Jens Hektor
P.S.
FAQ:
Q: da ist doch ne Firewall vor, oder? A: ja
P.P.S.
a) der Firewallhersteller erkennt das Exploit wohl in der non-SSL Variante, so etwas liegt hier aber eher selten vor. Beim Aufbrechen der Verschlüsselung an sich ist man noch nicht soweit. Mal ganz abgesehen vom Key-Management bei RDP.
b) der Security-Check via Greenbone fand die Systeme nicht. Da vor allem Systeme mit Erreichbarkeit aus dem Internet gecheckt werden, betrifft das die wenigsten.
P.P.S.
Danke an alle, die schon gepatcht haben.
P.P.P.S
An die, die noch nicht gepatcht ahen:
# # # # ##### ####### ### # # # # # # # ### # # # # # # ### ####### # # ##### # # # # # # # # # # # # # # # ### # # ##### ##### # ###
Am 28.05.19 um 13:44 schrieb Bernd Kohler:
Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
"Almost One Million Vulnerable to BlueKeep Vuln (CVE-2019-0708)"
--> Sofern nicht bereits passiert, bitte Updates installieren (zumal bereits ein MEtasploit Modul existiert, was das ganze noch vereinfacht).
VG
Bernd
p.s.: Ich versuche Infos zu bekommen, ob RWTH-IP's betroffen sind (betroffene Personen werden dann direkt angeschrieben.
[0] https://blog.erratasec.com/2019/05/almost-one-million-vulnerable-to.html
[2] https://github.com/rapid7/metasploit-framework/pull/11869/files/d0e2a36cdd8b...
Hi,
Am 30.05.19 um 02:00 schrieb Jens Hektor:
gt 1k Systeme in der RWTH gefunden. Die Admins wurden informiert.
Body Count war heute nachmittag 709.
Erstmal ein dickes Danke an alle, die schon gepatcht haben:
###### ### # # ## # # # # ###### ### # # # # ## # # # # ### # # # # # # # #### ##### # # # ###### # # # # # # # # # # # ## # # # ### ###### # # # # # # ###### ###
:-)
Genau ein (in Zahlen: 1) System war weltweit erreichbar, die Freischaltung wurde entzogen.
Bereits gepatcht und wieder freigeschaltet.
Aktives "exploitieren" der Verwundbarkeit wurde noch nicht gesehen, allerdings scheint das Potential hoch.
Die meint laut Heise Microsoft auch:
https://www.heise.de/security/meldung/Eine-Million-verwundbare-Rechner-Micro...
Leute, falls Ihr eine Firewall aber auch VPN habt, denkt auch an Eure User. Auch über diesen Weg kann es reinkommen. Macht Eure Systeme sicher.
Wer selber bei eigener Firewall, durch die das NOC nicht durchgucken kann, checken will (insbesondere die Kollegen aus Wohnheimen, Fraunhofer usw.) hier die URL der Software, die wir benutzen:
https://github.com/robertdavidgraham/rdpscan
Gruß, Jens Hektor
Hi,
Am 04.06.19 um 23:26 schrieb Jens Hektor:
Body Count war heute nachmittag 709.
Und heute war er 720.
Q: Ups? Wie kommt so was? Noch mehr?
A: Nun ganz einfach. Wir haben mal nicht um 15:00 den Scan gestartet, sondern schon um 13:00. Da der Scan 2h dauert, erwischen wir mehr ;-)
Die Gesamtzahl der IPs, die wir gesehen haben, liegt mittlerweile > 1200, heute sahen wir, wie gesagt, 720. Da waren aber auch ca. 140 "neue" IPs dabei. Also es passiert auch was.
Es gibt leider einige Einrichtungen, wo das 2-stellig dann doch eher 3-stellig ist oder zu werden droht.
Anyway. Wir bleiben da mal dran, denn nach all den Stories drumherum (wir erbitten ja Feedback) schwankt das zwischen
Erledigt Windows Update war disabled User hatte Updates disabled Platte voll
und so weiter.
Oder kurz (aber nicht klein):
# # # # ## # #### # # ##### ##### ## ##### ###### #### # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # ##### #### # # # # # # # ##### # # ###### # # # # ## # # # # # # # # # # # # # # # #### ##### # ##### # # # ###### ####
# # # #### ##### ## # # ###### ##### # ## # # # # # # # # # # # # # # #### # # # # # ##### # # # # # # # # ###### # # # # # # # ## # # # # # # # # # # # # # #### # # # ###### ###### ###### #####
Aua. Tststs.
Gruß, Jens Hektor
P.S. Bald kommt ggf wieder E-Mail.
Hallo,
wir haben Anzeichen dafür, dass der bei Windows 7 32-bit Systemen der angegebene KB4499175, der seinerseits wiederum nur von 64-bit spricht, nicht wirkt.
Hat irgendjemand hier erfolgreich ein Win7/32 gepatcht?
Gruß, Jens Hektor
Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
"Build an easy RDP Honeypot with Raspberry PI 3 and observe the infamous attacks as (BlueKeep) CVE-2019–0708"
VG
Bernd
[0] https://medium.com/@alt3kx/build-an-easy-rdp-honeypot-with-raspberry-pi-3-an...
Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
"reliable RCE on Windows 7 / Server 2008" - PoC VG
Bernd
[0] https://video.twimg.com/ext_tw_video/1135685878720946178/pu/vid/1280x720/aAr...
Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
"BlueKeep (CVE 2019-0708) exploitation spotted in the wild" (Metasploit Module [1] vom 23.09.2019)
VG
Bernd
[0] https://www.kryptoslogic.com/blog/2019/11/bluekeep-cve-2019-0708-exploitatio...
[1] https://gbhackers.com/metasploit-exploit-bluekeep/
[2] https://github.com/rapid7/metasploit-framework/pull/12283
Hallo zusammen,
sofern nicht selber schon gesehen/-lesen hier [0] FYI
"It’s time to disconnect RDP from the internet" (Free BlueKeep Detection Tool bereitgestellt durch ESET)
VG
Bernd
[0] https://www.welivesecurity.com/2019/12/17/bluekeep-time-disconnect-rdp-inter...
rwth-security@lists.rwth-aachen.de
-
Bernd Kohler -
Jens Hektor