Als WinShock (MS14-066, CVE-2014- 6321) am 11. November diesen Jahres öffentlich bekannt wurde, entwickelte unsere Emergency Response Team, mit Mitgliedern aus unseren IT und F&E Abteilungen ein kleines Shell Script, welches eine Fernerkennung von verwundbaren Systemen erlaubte.
Nach internen Tests machten wir dieses Script, welches wir winshock-test nannten, der Öffentlichkeit auf GitHub zugänglich.
Sehen wir uns kurz die Funktionsweise dieses Scripts an:
Neben dem kritischen Sicherheits-Bugfix für MS14-066, beinhaltete der Patch(KB2992611) auch vier neue SSL/TLS Cipher.
Diese neuen Cipher ermöglichten eine einfache Prüfung ob ein System den betreffenden Patch bereits erhalten hat oder nicht: Testen ob diese Cipher von einem SSL/TLS-basierten Dienst am Zielsystem unterstützt werden oder nicht.
Nachdem unser Team diesen Umstand realisiert hatte, bauten wir ein Script welches die s_client Funktionalität von OpenSSL verwendet um zu prüfen ob ein Dienst diese Cipher annimmt.
Neben dem Quellcode des Scripts sind einige Zusätzliche Informationen zu dieser Herangehensweise in der README Datei (Englisch) des Scripts zu finden.
Nachdem nun einige Wochen seit unserer Veröffentlichung vergangen sind, ist es an der Zeit für eine kurze Zusammenfassung. Neben Lob von IT-Administratoren aus der ganzen Welt, scheint es als ob unser Script auch die Aufmerksamkeit von Personen und Gruppen in der IT-Sicherheits Community erregen konnte.
Unser Script wurde in folgenden Artikeln verlinkt oder empfohlen (in alphabetischer Reihenfolge):
Zusammenfassend war es für uns ein tolles Gefühl dass eines unserer kleinen Test-Werkzeuge, nicht nur IT-Administratoren geholfen hat, sondern vielmehr auch von IT-Sicherheit Fachleuten empfohlen wurde.