Die Microsoft-Sicherheitsbulletins dieses Monats haben mit dem ECC-Validierungsfehler "crypt.dll" (auch bekannt als CurveBall aka ChainOfFools) viel Aufmerksamkeit erregt, aber auch die Windows Remote Desktop Gateway (RD Gateway) - einige Remotecode-Ausführungen - verdienen Ihre sofortige Aufmerksamkeit, insbesondere CVE-2020-0609 und CVE-2020-0610.
Im Folgenden beschreibe ich meinen Gedankengang, wie ich diese Art von Schwachstellen mit einem System wie Censys untersuche.
Interessant wird es, wenn man Censys durchsucht, um diese Hosts zu finden. Kurz gesagt, da Censys Netzwerkbeobachtungen aufzeichnet, müssen Sie herausfinden, wie sich die Software im Netzwerk präsentiert. Bei webbasierter Software hat Microsoft oft einen speziellen Header, der das Produkt und die Version angibt. In diesem Fall ist dies jedoch nicht der Fall, so dass ich mich auf andere Signale verlassen muss, um die Kandidaten zuverlässig zu identifizieren. Mein Ziel ist es, die Größe der gefährdeten Population abzuschätzen und vielleicht die Identifizierung von Ressourcen in meinem Netzwerk zu unterstützen, die ich patchen oder reparieren muss.
Normalerweise beginne ich bei dieser Art von Szenario (keine offensichtliche Markierung wie z. B. eine markante Web-Überschrift), wenn ich Censys nach diesen Daten durchsuchen möchte, mit einer Freitextsuche mit dem Produktnamen, normalerweise als Anführungszeichen.
https://censys.io/ipv4?q=%22Remote+Desktop+Web+Access%22
In diesem Fall werden weniger als 100 Hosts angezeigt, was mich darauf schließen lässt, dass dies nicht die richtige Abfrage ist. Ich habe einen Support-Artikel in den Microsoft-Foren gefunden, in dem der Standard-Web-RDP-Pfad (/rdweb) beschrieben wird. Diese Zeichenfolge ist ein wirklich effektiver Abfragebegriff, weil er so eindeutig ist. Es stellte sich heraus, dass wir fast 38000 Server mit "/rdweb" in ihren Webseiten sehen:
https://censys.io/ipv4?q=rdweb
Von dort aus können Sie die Suche weiter verfeinern, um sie nach CIDR, Domänennamen oder ähnlichem auf Ihre Organisation einzuschränken. In diesem Fall haben wir keine Versionsnummern, die vom Web-RDP-Banner angezeigt werden, aber einige Produkte schon. Wenn wir welche hätten, würden wir diese verwenden, um die Ergebnismenge auf der Grundlage der Bandbreite der anfälligen Produkte aus dem Herstellerhinweis einzugrenzen.
