{"id":218795,"date":"2019-06-04T16:01:01","date_gmt":"2019-06-04T14:01:01","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=218795"},"modified":"2021-09-30T14:37:05","modified_gmt":"2021-09-30T12:37:05","slug":"how-to-bluekeep-check-fr-windows","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/06\/04\/how-to-bluekeep-check-fr-windows\/","title":{"rendered":"How To: BlueKeep-Check f&uuml;r Windows"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/06\/06\/how-to-bluekeep-check-for-windows\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Der Blog-Beitrag befasst sich in einem How To mit der Frage, wie Endanwender und Administratoren mit einfachen Mitteln pr\u00fcfen k\u00f6nnen, ob ihre Systeme mit Windows XP bis Windows 7 sowie den Server-Pendants mit einem Patch f\u00fcr die kritische Schwachstelle BlueKeep (CVE-2019-0708) versorgt oder anf\u00e4llig sind. Zudem wird kurz beleuchtet, wie man ein Netzwerk auf angreifbare Rechner scannen kann. <strong>Anmerkung:<\/strong> Gegen\u00fcber der ersten Fassung des Artikels habe ich die Batchprogramme umgestellt und eine L\u00f6sung erweitert.<\/p>\n<p><!--more--><\/p>\n<h2>BlueKeep: Ein paar grundlegende Information<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg01.met.vgwort.de\/na\/980bc734b8f14b6e82cd4afc3e2eee9b\" alt=\"\" width=\"1\" height=\"1\" \/>In Windows XP bis Windows 7 sowie den Server-Pendants gibt es eine BlueKeep genannte, kritische Schwachstelle (CVE-2019-0708), mit der sich Systeme u.U. \u00fcbernehmen lassen. Systeme ab Windows 8 sind nicht anf\u00e4llig f\u00fcr die BlueKeep-Schwachstelle. Microsoft stellt zwar seit dem 14. Mai 2019 Sicherheitsupdates zum Schlie\u00dfen dieser Schwachstelle f\u00fcr betroffene Windows-Systeme bereit \u2013 und das sogar f\u00fcr die l\u00e4ngt aus dem Support gefallene Versionen wie Windows XP oder Windows Server 2003 (siehe mein Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/05\/15\/sicherheitupdate-fr-windows-xp-windows-server-2003-windows-vista-und-windows-7-windows-server-2008-r2\/\">Sicherheitupdate f\u00fcr CVE-2019-0708 f\u00fcr Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008\/R2<\/a>).<\/p>\n<p>Das Ganze wird also als kritisch eingesch\u00e4tzt, selbst das BSI (<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/17\/wannacry-reloaded-bsi-warnung-vor-schwerer-remote-desktop-services-sicherheitslcke-in-windows\/\">WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitsl\u00fccke in Windows<\/a>) und Microsoft (<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/31\/bluekeep-schwachstelle-auch-microsoft-warnt-es-droht-eine-malware-pandemie\/\">BlueKeep-Schwachstelle: Auch Microsoft warnt, es droht eine Malware-Pandemie<\/a>) warnen davor, Systeme ohne installierte Sicherheitsupdates zu betreiben.<\/p>\n<p>Erg\u00e4nzung: Das US-CERT hat nun auch <a href=\"https:\/\/web.archive.org\/web\/20210810174112\/https:\/\/www.nsa.gov\/News-Features\/News-Stories\/Article-View\/Article\/1865726\/nsa-cybersecurity-advisory-patch-remote-desktop-services-on-legacy-versions-of\/\" target=\"_blank\" rel=\"noopener noreferrer\">eine Warnung<\/a> ausgesprochen und gibt konkrete Anweisungen, was neben dem Patchen von Systemen ggf. zu tun ist:<\/p>\n<ul>\n<li>Blockieren Sie den TCP-Port 3389 an Ihren Firewalls, insbesondere an allen Firewalls, die dem Internet ausgesetzt sind. Dieser Port wird im RDP-Protokoll verwendet und blockiert Versuche, eine Verbindung herzustellen.<\/li>\n<li>Aktivieren Sie die Authentifizierung auf Netzwerkebene (siehe meinen Hinweis im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/05\/26\/authentifizierung-im-netzwerk-ohne-gruppenrichtlinien-erzwingen\/\" rel=\"bookmark\">Authentifizierung im Netzwerk ohne Gruppenrichtlinien erzwingen<\/a>). Diese Sicherheitsverbesserung erfordert, dass Angreifer \u00fcber g\u00fcltige Anmeldeinformationen verf\u00fcgen, um eine Remote-Codeauthentifizierung durchzuf\u00fchren.<\/li>\n<li>Deaktivieren Sie Remote Desktop Services, wenn sie nicht ben\u00f6tigt werden. Die Deaktivierung nicht genutzter und nicht ben\u00f6tigter Dienste tr\u00e4gt dazu bei, die Gef\u00e4hrdung durch Sicherheitsschwachstellen insgesamt zu verringern und ist eine bew\u00e4hrte Vorgehensweise auch ohne die BlueKeep-Bedrohung.<\/li>\n<\/ul>\n<p>Sicherheitsforscher haben trotzdem k\u00fcrzlich bei einem Scan \u00fcber 950.000 angreifbare Windows-Systeme ohne das erforderliche Sicherheitsupdate, die per Internet erreichbar sind, gefunden (siehe <a href=\"https:\/\/borncity.com\/blog\/2019\/05\/29\/fast-1-million-windows-maschinen-ber-bluekeep-schwachstelle-angreifbar\/\">Fast 1 Million Windows-Maschinen \u00fcber BlueKeep-Schwachstelle angreifbar<\/a>). Ich hatte hier im Blog ja ausgiebig dar\u00fcber berichtet (siehe Linkliste am Artikelende)<\/p>\n<p>Es ist also eine groteske Situation: Sicherheitsupdates sind verf\u00fcgbar, Gegenma\u00dfnahmen und das Risiko eines Angriffs ist bekannt, aber die Leute patchen bzw. reagieren nicht. Manche Nutzer scheitern aber an der Aufgabe, schnell zu pr\u00fcfen, ob die zum Schlie\u00dfen der BlueKeep-Schwachstelle erforderlichen Updates installiert sind. Von Microsoft kommt da wenig \u2013 Administratoren im Firmenumfeld m\u00fcssten wissen, wie man so etwas \u00fcberpr\u00fcft. Auf Grund von Nachfragen und Diskussionen hier im Blog habe ich mich daher entschlossen, die nachfolgenden Informationen bereitzustellen.<\/p>\n<h2>Bin ich eigentlich gef\u00e4hrdet?<\/h2>\n<p>Erste Frage, die sich vielleicht viele Nutzer stellen: Muss ich wirklich davon ausgehen, dass ich gef\u00e4hrdet bin? Microsoft stellt zwar Updates f\u00fcr Windows XP bis Windows 7 sowie den Server-Pendants bereit \u2013 und im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2019\/05\/17\/wannacry-reloaded-bsi-warnung-vor-schwerer-remote-desktop-services-sicherheitslcke-in-windows\/\">WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitsl\u00fccke in Windows<\/a> hatte die die zu installierenden KB-Beitr\u00e4ge samt Links zu den Update-Quellen verlinkt. Aber es kam relativ schnell hier im Blog die Frage auf: 'Sind auch Heimanwender betroffen?' und es wurde angemerkt, dass eine Maschine, die hinter einer Firewall h\u00e4ngt, die bestimmte Ports f\u00fcr das Remote Desktop Protocol (RDP) sperrt, nicht per Internet angreifbar sind.<\/p>\n<p>In erster N\u00e4herung kann man davon ausgehen, dass im Bereich Heimanwender keine Gef\u00e4hrdung existieren sollte. Gef\u00e4hrdet sind in einer N\u00e4herung vor allem Windows Server, auf denen ein Remote Desktop Server zur Abwicklung eingehender Anfragen aufgesetzt wurde. Es gibt zudem von Talos den Security-Artikel <a href=\"https:\/\/blog.talosintelligence.com\/2019\/05\/firepower-encrypted-rdp-detection.html\" target=\"_blank\" rel=\"noopener noreferrer\">Using Firepower to defend against encrypted RDP attacks like BlueKeep<\/a>, der erkl\u00e4rt, dass man in Windows 7 wohl mehrere H\u00fcrden \u00fcberwinden muss, um angreifbar zu sein.<\/p>\n<p>Hier k\u00f6nnte man also schlussfolgern: Alles halb so wild. Aber es ist nie sicher, ob man nicht doch was \u00fcbersehen hat oder die Remote Desktop Dienste vielleicht doch erreichbar sind. Ich verweise mal auf die Diskussion zu <a href=\"https:\/\/borncity.com\/blog\/2019\/06\/03\/bluekeep-patch-auch-fr-raubkopien-risikofaktor-ssl-tunnel\/#comment-72912\">diesem Artikel<\/a>.\u00a0 Und wenn Microsoft ein Sicherheitsupdate bereitstellt, sollte man das auch installieren.<\/p>\n<blockquote><p>Erg\u00e4nzung: Ein Metasploit f\u00fcr gef\u00e4hrdete Systeme ist inzwischen verf\u00fcgbar aber unter Verschluss. Siehe\u00a0<a href=\"https:\/\/borncity.com\/blog\/2019\/06\/06\/metasploit-fr-bluekeep-vorhanden-z-z-noch-privat\/\" rel=\"bookmark\">Metasploit f\u00fcr BlueKeep vorhanden, z.Z. noch privat<\/a>.<\/p>\n<p>Ab Windows 8 sind die Systeme aber nicht mehr \u00fcber diese Schwachstelle angreifbar. Allerdings gibt es in Windows 10 eine RDP-Schwachstelle, die einen Sperrbildschirm umgehen kann (siehe mein Beitrag\u00a0<a href=\"https:\/\/borncity.com\/blog\/2019\/06\/06\/windows-rdp-network-level-authentication-kann-sperrbildschirm-umgehen\/\" rel=\"bookmark\">Windows RDP Network Level Authentication kann Sperrbildschirm umgehen<\/a>).<\/p><\/blockquote>\n<h2>Ist das BlueKeep-Sicherheitsupdate installiert?<\/h2>\n<p>Die einfachste M\u00f6glichkeit zur Pr\u00fcfung, ob ein Risiko bez\u00fcglich BlueKeep existiert, besteht im Check, ob das erforderliche Sicherheitsupdate installiert ist.<\/p>\n<blockquote><p><strong>Hinweis:<\/strong> Gegen\u00fcber den ersten Fassungen des Artikels habe ich jetzt die Reihenfolge der in diesem Abschnitt beschriebenen Pr\u00fcfungen umgestellt. Grund ist, dass mein urspr\u00fcnglich als erste L\u00f6sung beschriebenes Batchprogramm auf Grund einer Beschr\u00e4nkung im benutzten Hilfsprogramm die Update nicht alle zuverl\u00e4ssig findet.<\/p><\/blockquote>\n<h3>Kontrolle der installierten Updates per Systemsteuerung<\/h3>\n<p>Die erste M\u00f6glichkeit ist, den Verlauf installierter Windows Updates per Systemsteuerung einzusehen. hierzu f\u00fchrt man folgende Schritte aus:<\/p>\n<p>1. Einfach in der Suche des Startmen\u00fcs 'Updates' eintippen und den Befehl 'Installierte Updates anzeigen' w\u00e4hlen.<\/p>\n<p>2. Dann dort den Updateverlauf im Fenster <em>Installierte Updates <\/em>auf die betreffenden Updates kontrollieren oder \u00fcber das Suchfeld danach suchen lassen.<\/p>\n<p><img decoding=\"async\" title=\"Suchen nach installierten Updates (Windows 7)\" src=\"https:\/\/i.imgur.com\/pt6hwfQ.jpg\" alt=\"Suchen nach installierten Updates (Windows 7)\" \/><br \/>\n[Suchen nach installierten Updates (Windows 7)]<\/p>\n<blockquote><p>Wichtig: Man muss warten, bis die Fortschrittsanzeige im Adressfeld signalisiert, dass der Vorgang fertig ist. Ich falle da gerne darauf herein und finde dann das Update nicht.<\/p><\/blockquote>\n<p>Wird das f\u00fcr die Windows-Version erforderliche Update dort aufgelistet, braucht man nichts zu tun. F\u00fcr die jeweiligen Windows-Versionen gelten folgende Updates:<\/p>\n<p><em>Windows XP: KB4500331<br \/>\nWindows Server 2003 SP2: KB4500331<br \/>\nWindows Vista: KB4499149 oder KB4499180<br \/>\nWindows Server 2008 SP1: KB4499149 oder KB4499180<br \/>\nWindows 7 SP1: KB4499164 oder KB4499175<br \/>\nWindows Server 2008 R2: KB4499164 oder KB4499175<\/em><\/p>\n<p>Sind in obiger Liste zwei Updates f\u00fcr eine Windows-Version aufgef\u00fchrt, braucht nur eines davon installiert zu sein. Fehlt das Update in der Liste der installierten Patches, einfach das betreffende Paket von Microsoft herunterladen und manuell installieren. Ist das Update bereits vorhanden, wird die zweite Installation wohl mit einem entsprechenden Hinweis abgelehnt. Weiterhin bliebe ja noch der nachfolge Netzwerk-Scan als Test \u00fcbrig, ob das System angreifbar ist.<\/p>\n<blockquote><p><strong>Anmerkung:<\/strong> Die Kontrolle im Updateverlauf sollte zuverl\u00e4ssig funktionieren. Man muss aber warten, bis die Funktion fertig ist und alle Updates aufgelistet hat (sollte im Adressfeld angezeigt werden). Andernfalls gibt es schlicht das Problem, dass Updates nicht gefunden werden. Erinnerungsm\u00e4\u00dfig habe ich aber immer wieder F\u00e4lle gehabt, wo ich in diese Falle getappt bin und die Suche nach einer KB-Nummer \u00fcber das Feld in der rechten oberen Ecke nichts angezeigt hat \u2013 m\u00f6glicherweise war ich da zu schnell mit der Suche. Ich musste dann die Update-Liste durchgehen. Im aktuellen Fall kein Problem, da das Feld 'Installiert am' das Update noch an oberster Stelle anzeigt. Aber eine Nachschau nach einem bestimmten Update in mehreren hundert Eintr\u00e4gen \u2013 meine Liste reicht bis 2014 zur\u00fcck, halte ich f\u00fcr recht komplex \u2013 speziell, da noch viele andere installierte Updates zu .NET und Office auftauchen.<\/p><\/blockquote>\n<h3>Test #1: Pr\u00fcfung per Batchdatei<\/h3>\n<p>Ich pers\u00f6nlich habe aber gerne L\u00f6sungen, die ich per Doppelklick ausf\u00fchren kann und die mir dann ein Ergebnis anzeigen. Ist weniger fehleranf\u00e4llig als der obige Ansatz. Von Blog-Leser Bernhard M. habe ich\u00a0 zwei kleine Batch-Programme (eines f\u00fcr Windows 8.1 und eines f\u00fcr Windows 7) per Mail bekommen &#8211; danke daf\u00fcr. Bernhard benutzt die Batch-Programme, um die installierten Updates auflisten zu lassen und zu pr\u00fcfen, ob Sicherheitsupdates installiert wurden. Ich habe das f\u00fcr Windows 7 erstellte Batch-Programm so modifiziert, dass es von Windows XP bis Windows 7 sowie den Server-Pendants funktionieren sollte.<\/p>\n<blockquote><p><strong>Anmerkung:<\/strong> Ich habe das Batch-Programm inzwischen auf Version 1.2 aktualisiert. Es zeigt bei der Ausf\u00fchrung jetzt die Windows-Version und die Liste der verf\u00fcgbaren Updates an, das ist etwas handlicher als die Urfassung.<\/p><\/blockquote>\n<p>Das Batchprogramm ermittelt die Windows-Version und \u00fcberpr\u00fcft, ob die erforderlichen Updates zum Schlie\u00dfen der BlueKeep-Schwachstelle unter Windows XP bis Windows 7 installiert sind. Hier die betreffenden Anweisungen:<\/p>\n<p><em>REM *******************************************************<\/em><br \/>\n<em>REM BlueKeep Update Check Version 1.2<\/em><br \/>\n<em>REM Info: https:\/\/borncity.com\/blog\/?p=218795<\/em><br \/>\n<em>REM *******************************************************<\/em><br \/>\n<em>@ECHO OFF<\/em><br \/>\n<em>CLS<\/em><br \/>\n<em>ECHO BlueKeep Update Check Version 1.2<\/em><br \/>\n<em>ECHO &#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8211;<\/em><br \/>\n<em>ECHO.<\/em><br \/>\n<em>ECHO Check auf installierte BlueKeep Sicherheitsupdates<\/em><br \/>\n<em>Echo Infos unter: https:\/\/borncity.com\/blog\/?p=218795<\/em><br \/>\n<em>ECHO.<\/em><br \/>\n<em>ECHO Liste der verfuegbaren Sicherheitsupdates<\/em><br \/>\n<em>ECHO &#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8211;<\/em><br \/>\n<em>ECHO.<\/em><br \/>\n<em>ECHO Windows XP: KB4500331<\/em><br \/>\n<em>ECHO Windows Server 2003 SP2: KB4500331<\/em><br \/>\n<em>ECHO Windows Vista: KB4499149 oder KB4499180<\/em><br \/>\n<em>ECHO Windows Server 2008 SP1: KB4499149 oder KB4499180<\/em><br \/>\n<em>ECHO Windows 7 SP1: KB4499164 oder KB4499175<\/em><br \/>\n<em>ECHO Windows Server 2008 R2: KB4499164 oder KB4499175<\/em><br \/>\n<em>ECHO &#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8212;&#8211;<\/em><br \/>\n<em>ECHO.<\/em><br \/>\n<em>ECHO Je nach Windows-Version sollte eines der Sicherheitsupdates<\/em><br \/>\n<em>ECHO installiert sein. Bitte warten, bis die Pruefung<\/em><br \/>\n<em>ECHO durchgelaufen ist. Wird beim Programmdurchlauf kein<\/em><br \/>\n<em>ECHO Paket gemeldet, fehlt das BlueKeep-Sicherheitsupdate.<\/em><br \/>\n<em>ECHO.<\/em><br \/>\n<em>REM ### Ermittle Version des Betriebssystems und zeige diese an<\/em><br \/>\n<em>REM Windows XP?<\/em><br \/>\n<em>ver | find \"5.1\" &gt; nul<\/em><br \/>\n<em>if errorlevel = 1 goto next0<\/em><br \/>\n<em>if errorlevel = 0 echo Windows XP gefunden<br \/>\ngoto end1<\/em><\/p>\n<p><em>:next0<\/em><br \/>\n<em>ver | find \"6.0\" &gt; nul<\/em><br \/>\n<em>if errorlevel = 1 goto next1<\/em><br \/>\n<em>if errorlevel = 0 echo Windows Vista gefunden<\/em><br \/>\n<em>goto end1<\/em><\/p>\n<p><em>:next1<\/em><br \/>\n<em>ver | find \"6.1\"<\/em><br \/>\n<em>if errorlevel = 1 goto next2<\/em><br \/>\n<em>if errorlevel = 0 echo Windows 7 (o.\u00e4.) gefunden<\/em><br \/>\n<em>goto end1<\/em><\/p>\n<p><em>:next2<\/em><br \/>\n<em>ver | find \"6.2\" &gt; nul<\/em><br \/>\n<em>if errorlevel = 1 goto next3<\/em><br \/>\n<em>if errorlevel = 0 echo Windows 8 (o.\u00e4.) gefunden<\/em><br \/>\n<em>goto end1<\/em><\/p>\n<p><em>:next3<\/em><br \/>\n<em>ver | find \"6.3\" &gt; nul<\/em><br \/>\n<em>if errorlevel = 1 goto next4<\/em><br \/>\n<em>if errorlevel = 0 echo Windows 8.1 (o.\u00e4.) gefunden<\/em><br \/>\n<em>goto end1 <\/em><\/p>\n<p><em>:next4<\/em><br \/>\n<em>ver | find \"10.0\" &gt; nul<\/em><br \/>\n<em>if errorlevel = 1 goto other<\/em><br \/>\n<em>if errorlevel = 0 echo Windows 10 (o.\u00e4.) gefunden<\/em><br \/>\n<em>goto end1 <\/em><br \/>\n<em>:other<br \/>\nREM Windows Server 2003 (?) oder fr\u00fcheres Windows<\/em><br \/>\n<em>ECHO Windows version nicht ermittelbar<\/em><br \/>\n<em>:end1<\/em><\/p>\n<p><em>REM ### Pr\u00fcfe, ob BlueKeep-Update vorhanden ist<\/em><br \/>\n<em>SETLOCAL<\/em><br \/>\n<em>wmic qfe &gt; %TEMP%\\check-updates.txt<\/em><\/p>\n<p><em>REM *** Windows XP: KB4500331<\/em><br \/>\n<em>type %TEMP%\\check-updates.txt | findstr KB4500331<\/em><\/p>\n<p><em>REM *** Windows Server 2003 SP2:<\/em><br \/>\n<em>type %TEMP%\\check-updates.txt | findstr KB4500331<\/em><\/p>\n<p><em>REM *** Windows Vista: KB4499149 oder KB4499180<\/em><br \/>\n<em>type %TEMP%\\check-updates.txt | findstr KB4499149<\/em><br \/>\n<em>type %TEMP%\\check-updates.txt | findstr KB4499180<\/em><\/p>\n<p><em>REM *** Windows Server 2008 SP1: KB4499149 oder KB4499180<\/em><\/p>\n<p><em>type %TEMP%\\check-updates.txt | findstr KB4499149<\/em><br \/>\n<em>type %TEMP%\\check-updates.txt | findstr KB4499180<\/em><\/p>\n<p><em>REM *** Windows 7 SP1\/Windows Server 2008 R2: KB4499164 oder KB4499175<\/em><br \/>\n<em>type %TEMP%\\check-updates.txt | findstr KB4499164<\/em><br \/>\n<em>type %TEMP%\\check-updates.txt | findstr KB4499175<\/em><\/p>\n<p><em>del %TEMP%\\check-updates.txt<\/em><br \/>\n<em>Pause Bitte zum Beenden eine Taste dr\u00fccken<\/em><\/p>\n<p>Einfach den obigen Code markieren, mit <em>Strg+C<\/em> in die Zwischenablage kopieren, dann den Windows Editor \u00f6ffnen und die Zwischenablage mit <em>Strg+V<\/em> einf\u00fcgen. Das Ganze speichert man anschlie\u00dfend in eine Datei <em>BlueKeepCheck.bat<\/em> und schlie\u00dft den Editor. Dann reicht ein Doppelklick auf diese Batch-Datei, um die Pr\u00fcfung auszuf\u00fchren. Die Ergebnisse werden anschlie\u00dfend gemeldet. Der Ablauf ist in nachfolgendem Screenshot zu sehen (ich habe mal die relevanten Informationen mit einem roten Pfeil markiert).<\/p>\n<p><img decoding=\"async\" title=\"BlueKeep-Check auf Updates in Windows\" src=\"https:\/\/i.imgur.com\/VG1yIhi.jpg\" alt=\"BlueKeep-Check auf Updates in Windows\" \/><\/p>\n<p>Die Interpretation der Ergebnisse ist recht einfach: Wird kein Update bei dieser Pr\u00fcfung gemeldet, fehlt dieses und der Rechner ist nicht gegen BlueKeep gesch\u00fctzt. Wird dagegen ein Update gemeldet (wie in obigem Bild), ist der Patch installiert.<\/p>\n<blockquote><p>Anmerkung: Es ist jetzt eine Quick-and-dirty-L\u00f6sung, die ich nur unter Windows 7 SP1 getestet habe. Die sollte aber auch unter Windows XP, Vista und den Server-Pendants funktionieren. Einzig bei der Anzeige der nachtr\u00e4glich erg\u00e4nzten Pr\u00fcfung auf die Windows-Version bin ich nicht sicher, ob die Windows Server-Versionen (z.B. 2003) korrekt angezeigt werden.<\/p><\/blockquote>\n<p>Fehlt das Update, sollte es umgehend nachinstalliert werden. Ich denke, das sollte eigentlich jeder Nutzer hinbekommen \u2013 und als 'Turnschuh-Administrator' kann man sich die Batch-Datei auf einen USB-Stick ziehen, um mal schnell eine Pr\u00fcfung vor Ort an einem System durchzuf\u00fchren.<\/p>\n<h3>Test #2: Zweite\u00a0L\u00f6sung &#8211; ist aber unzuverl\u00e4ssig<\/h3>\n<p>Der Vollst\u00e4ndigkeit halber belasse ich mal die zweite L\u00f6sung, die ich urspr\u00fcnglich hier im Artikel beschrieben habe, im Text &#8211; viele Kommentare beziehen sich ja auf diesen (leider unzuverl\u00e4ssigen Ansatz). In <a href=\"https:\/\/borncity.com\/blog\/2019\/06\/03\/bluekeep-patch-auch-fr-raubkopien-risikofaktor-ssl-tunnel\/#comment-72848\">diesem Kommentar<\/a> hatte ich drei Shell-Befehle vorgeschlagen, mit denen man eine Pr\u00fcfung auf installierte BlueKeep-Updates versuchen kann. Ich habe die Befehle auf die Schnelle mal in eine kleine Batch-Datei \u00fcberf\u00fchrt, die sich per Doppelklick aufrufen l\u00e4sst.<\/p>\n<p><em>REM *******************************************************<br \/>\nREM BlueKeep Update Check<br \/>\nREM *******************************************************<br \/>\nECHO OFF<br \/>\nCLS<br \/>\nECHO Check auf installierte BlueKeep Sicherheitsupdates<br \/>\nECHO<br \/>\nECHO Je nach Windows-Version sollte eins der folgenden<br \/>\nECHO Sicherheitsupdates unter Windows installiert sein.<br \/>\nECHO<br \/>\nECHO Windows XP: KB4500331<br \/>\nECHO Windows Server 2003 SP2: KB4500331<br \/>\nECHO Windows Vista: KB4499149 oder KB4499180<br \/>\nECHO Windows Server 2008 SP1: KB4499149 oder KB4499180<br \/>\nECHO Windows 7 SP1: KB4499164 oder KB4499175<br \/>\nECHO Windows Server 2008 R2: KB4499164 oder KB4499175<br \/>\nECHO<br \/>\nECHO Bitte warten, bis sich der Windows Editor mit den Ergebnissen<br \/>\nECHO \u00f6ffnet und dort nach dem erforderlichen Update suchen lassen.<br \/>\nEcho ON<br \/>\nsysteminfo &gt; check-updates.txt<br \/>\nnotepad check-updates.txt<br \/>\ndel check-updates.txt<br \/>\nPause Bitte zum Beenden eine Taste dr\u00fccken<\/em><\/p>\n<p>Einfach den obigen Code markieren, mit Strg+C in die Zwischenablage kopieren, dann den Windows Editor \u00f6ffnen und die Zwischenablage mit Strg+V einf\u00fcgen. Das Ganze speichert man anschlie\u00dfend in eine Datei <em>BlueKeepCheck.bat<\/em> und schlie\u00dft den Editor. Dann reicht ein Doppelklick auf diese Batch-Datei, um die Pr\u00fcfung auszuf\u00fchren. Der Ablauf ist in nachfolgendem Screenshot zu sehen.<\/p>\n<p><a href=\"https:\/\/i.imgur.com\/CveCuED.jpg\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"BlueKeep Update-Check f\u00fcr Windows\" src=\"https:\/\/i.imgur.com\/CveCuED.jpg\" alt=\"BlueKeep Update-Check f\u00fcr Windows\" width=\"629\" height=\"489\" \/><\/a><br \/>\n(BlueKeep Update-Check f\u00fcr Windows, <a href=\"https:\/\/i.imgur.com\/CveCuED.jpg\" target=\"_blank\" rel=\"noopener noreferrer\">Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n<p>Das Batch-Programm \u00f6ffnet das Fenster einer Eingabeaufforderung (was mit Standard-Benutzerrechten funktioniert). Dann werden die f\u00fcr die Windows-Versionen ben\u00f6tigten Update-KB-Nummern angezeigt. Im Anschluss werden mittels <em>Systeminfo.exe <\/em>die installierten Updates ermittelt und in eine Textdatei geschrieben. Ist das abgeschlossen, \u00f6ffnet sich der Windows Editior Notepad und l\u00e4dt die Pr\u00fcfdatei. Da jeder Benutzer wei\u00df eigentlich, unter welcher Windows-Version er unterwegs ist, kann er die zu pr\u00fcfende KB-Nummer f\u00fcr das Update aus der Meldung ermitteln und im Windows-Editor danach suchen lassen.<\/p>\n<p>Je nach Windows-Version muss der Nutzer ggf. zwei Updates (Rollup oder Security-only) \u00fcberpr\u00fcfen \u2013 eines der Updates sollte installiert sein. Kennt er die Windows-Version nicht, l\u00e4sst sich diese mit der Tastenkombination Windows+Pause in den Systeminformationen ermitteln.<\/p>\n<blockquote><p><strong>Erg\u00e4nzung:\u00a0<\/strong>Das war die erste Quick &amp; Dirty-L\u00f6sung, die ich beim Schreiben des Beitrags als Idee zusammen gezimmert hatte. Ist nat\u00fcrlich f\u00fcr den Benutzer aufw\u00e4ndiger als die erste Batch-L\u00f6sung (er muss selbst suchen) &#8211; funktionierte bei mir auch &#8211; aber das Ganze ist nicht zuverl\u00e4ssig. Weiter unten weist ein Blog-Leser per Kommentar darauf hin, dass die Abfrage der installierten Updates 'mit der Zeit eventuell nicht mehr klappt'. Auch Blog-Leser Gero S. hat mich per Mail kontaktiert:<\/p>\n<p>'bei beiden Varianten werden die Win 7-Updates nicht gefunden, obwohl sie im Updateverlauf gelistet sind. Wie soll ich nun vorgehen?'<\/p>\n<p>Weitere Blog-Leser haben dann darauf hingewiesen, dass das von mir verwendete Windows-Programm <em>systeminfo<\/em> leider nicht alle installierten Updates (dort auch noch als Hotfixes bezeichnet) anzeigt, sondern die Auflistung irgendwann abbricht.\u00a0Ist nat\u00fcrlich etwas strange, wenn man sich nicht mehr auf die Windows-Funktionen verlassen kann. Verwendet daher das weiter oben bereitgestellte Batch-Programm.<\/p><\/blockquote>\n<h2>Netzwerk-Scan auf verwundbare Systeme<\/h2>\n<p>Administratoren, die gr\u00f6\u00dfere Installationen, auch mit Servern, auf denen der Remote Desktop Dienst l\u00e4uft, betreuen, brauchen eine bessere Pr\u00fcfmethode. Dort geht es um die Fragestellung: Ist ein Rechner aus dem Internet oder per Netzwerk erreichbar und ist der wegen eines fehlenden Updates angreifbar?<\/p>\n<p>Ich hatte in <a href=\"https:\/\/borncity.com\/blog\/2019\/06\/03\/bluekeep-patch-auch-fr-raubkopien-risikofaktor-ssl-tunnel\/#comment-72848\">diesem Kommentar<\/a> darauf hingewiesen, dass es von Kevin Beaumont einen scriptbasierten Scanner in einem Docker-Container gibt. Diese L\u00f6sung sehe ich aber schlicht als zu komplex und aufw\u00e4ndig an, um schnell und einfach eingesetzt zu werden. Eher was f\u00fcr gro\u00dfe Firmenumgebungen, wo man das Netz testet und eh eine Infrastruktur mit Docker-Containern vorh\u00e4lt.<\/p>\n<p>Und das zweite Programm zum Scannen von Netzwerken auf die BlueKeep-Schwachstelle stammt von David Graham und tr\u00e4gt den Namen <em>rdpscan<\/em>. Es wurde auch schon in den Kommentaren hier im Blog vorgestellt. David Graham hat den Quellcode als Visual Studio-Projekt auf <a href=\"https:\/\/github.com\/robertdavidgraham\/rdpscan\" target=\"_blank\" rel=\"noopener noreferrer\">GitHub ver\u00f6ffentlicht<\/a>. Ich war der Meinung, dass nur der Quellcode vorliegt, welcher mit Visual Studio compiliert werden muss. Dann habe ich aber <a href=\"https:\/\/github.com\/robertdavidgraham\/rdpscan\/releases\" target=\"_blank\" rel=\"noopener noreferrer\">die GitHub-Seite<\/a> von Graham gefunden, wo er vorcompilierte Bin\u00e4rversionen des Programms f\u00fcr Windows und macOS anbietet. Auf seiner Blog-Seite (gel\u00f6scht) gibt es neben einer Linux-Version zum Download noch eine Beschreibung. Das Programm ist aus einer Eingabeaufforderung mit:<\/p>\n<p><em>rdpscan 192.168.1.1-192.168.1.1.255<\/em><\/p>\n<p>aufzurufen. Die IP-Adresse sollte dem zu \u00fcberpr\u00fcfenden Netzwerk-Adressraum entsprechen. Die IP-Adresse des eigenen Systems kann mit dem Befehl <em>ipconfig \/all <\/em>in der Eingabeaufforderung ermittelt werden.<\/p>\n<p>Das Tool kennt drei Ergebnisse, die in der Eingabeaufforderung als einzeilige Meldungen ausgegeben werden k\u00f6nnen.<\/p>\n<ul>\n<li>VULNERABLE wenn eine RDP-Verbindung aufgebaut werden kann und das Update nicht vorhanden sind, das\u00a0 System also angreifbar ist<\/li>\n<li>SAFE wenn eine RDP-Verbindung aufgebaut werden kann und das Update gefunden wird, die Zugriffe also vermutlich sicher sind.<\/li>\n<li>UNKNOWN wenn keine RDP-Verbindung aufgebaut werden kann<\/li>\n<\/ul>\n<p>Bei meinem Test unter Windows 10 und Windows 7, wo kein Remote Desktop Service l\u00e4uft, kam die Meldung 'UNKNOWN \u2013 no connection \u2013 timeout', da der Dienst nicht antwortete.<\/p>\n<p><img decoding=\"async\" title=\"BlueKeep-Netzwerk-Check\" src=\"https:\/\/i.imgur.com\/5FHTT7l.jpg\" alt=\"BlueKeep-Netzwerk-Check\" \/><\/p>\n<p>Man wei\u00df dann nat\u00fcrlich nicht, ob es daran liegt, dass man eine falsche IP-Adresse angegeben hat oder ob der Rechner keinen Remote Desktop Dienst bereitstellt, der \u00fcber das Netzwerk erreichbar ist. Ich denke aber, dass erfahrene Administratoren da andere Fehlerursachen ausschlie\u00dfen oder gegen einen funktionierenden RDP-Server testen. Zusammen mit dem obigen BlueKeep-Update-Check sollte man aber weiterkommen. Vielleicht hilft es euch weiter. Falls Anmerkungen, Verbesserungsvorschl\u00e4ge etwas vorhanden sind, hinterlasst einen Kommentar.<\/p>\n<p><strong>Erg\u00e4nzung 11.6.2019:<\/strong> Bleeping Computer hat jetzt diesen Artikel ver\u00f6ffentlicht, der noch einige zus\u00e4tzliche Hinweise zum <em>rdpscan<\/em> beinhaltet.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/27\/angreifer-scannen-windows-systeme-auf-bluekeep-lcke\/\">Angreifer scannen Windows-Systeme auf BlueKeep-L\u00fccke<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/29\/fast-1-million-windows-maschinen-ber-bluekeep-schwachstelle-angreifbar\/\">Fast 1 Million Windows-Maschinen \u00fcber BlueKeep-Schwachstelle angreifbar<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/21\/bluekeep-wie-stehts-um-die-remote-desktop-services-schwachstelle-cve-2019-0708-in-windows\/\">BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/17\/wannacry-reloaded-bsi-warnung-vor-schwerer-remote-desktop-services-sicherheitslcke-in-windows\/\">WannaCry-Reloaded? BSI-Warnung vor schwerer Remote Desktop Services-Sicherheitsl\u00fccke in Windows<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/15\/sicherheitupdate-fr-windows-xp-windows-server-2003-windows-vista-und-windows-7-windows-server-2008-r2\/\">Sicherheitupdate f\u00fcr CVE-2019-0708 f\u00fcr Windows XP, Windows Server 2003, Windows Vista und Windows 7, Windows Server 2008\/R2<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/21\/bluekeep-wie-stehts-um-die-remote-desktop-services-schwachstelle-cve-2019-0708-in-windows\/\">BlueKeep: Wie steht's um die Remote Desktop Services-Schwachstelle CVE-2019-0708 in Windows<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/05\/31\/bluekeep-schwachstelle-auch-microsoft-warnt-es-droht-eine-malware-pandemie\/\">BlueKeep-Schwachstelle: Auch Microsoft warnt, es droht eine Malware-Pandemie<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/06\/03\/bluekeep-patch-auch-fr-raubkopien-risikofaktor-ssl-tunnel\/\">BlueKeep: Patch auch f\u00fcr Raubkopien; Risikofaktor SSL-Tunnel<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/06\/06\/metasploit-fr-bluekeep-vorhanden-z-z-noch-privat\/\" rel=\"bookmark\">Metasploit f\u00fcr BlueKeep vorhanden, z.Z. noch privat<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2019\/06\/06\/windows-rdp-network-level-authentication-kann-sperrbildschirm-umgehen\/\" rel=\"bookmark\">Windows RDP Network Level Authentication kann Sperrbildschirm umgehen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Der Blog-Beitrag befasst sich in einem How To mit der Frage, wie Endanwender und Administratoren mit einfachen Mitteln pr\u00fcfen k\u00f6nnen, ob ihre Systeme mit Windows XP bis Windows 7 sowie den Server-Pendants mit einem Patch f\u00fcr die kritische Schwachstelle BlueKeep &hellip; <a href=\"https:\/\/borncity.com\/blog\/2019\/06\/04\/how-to-bluekeep-check-fr-windows\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,2557],"tags":[7602,4328,4325],"class_list":["post-218795","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows-server","tag-bluekeep","tag-sicherheit","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218795","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=218795"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/218795\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=218795"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=218795"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=218795"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}