Indien er bij het verbinden van een RDP sessie naar een Windows Server 2016 server de melding komt “An internal error has occurred” is er zeer waarschijnlijk een probleem ontstaan met het RDP certificaat.
Bij het verbinden van een sessie verschijnen onderstaande meldingen in de eventviewer van de betreffende server.
Event 1057 – RD Session Host Server has failed to create a new self signed certificate to be used for RD Session Host Server authentication on SSL connections. The relevant status code was Object already exists.
Event 36871 – A fatal error occurred while creating a TLS client credential. The internal error state is 10013.
De oplossing/workaround hiervoor is het verwijderen van onderstaande key. Bij de eerstvolgende RDP connectie wordt er een nieuw certificaat gegenereerd.
Na connecten zal er weer een certificaat staan. De verbinding werkt weer naar behoren.
https://www.jeroenvanroon.nl/wp-content/uploads/2018/10/JeroenvanRoon_ITblog_spacing-1.png00Jeroen van Roonhttps://www.jeroenvanroon.nl/wp-content/uploads/2018/10/JeroenvanRoon_ITblog_spacing-1.pngJeroen van Roon2020-01-27 08:44:522020-03-29 13:07:34“An internal error has occurred” RDP connectie server 2016 (Error 10013)
Op 17 december 2019 is er door Citrix een aangekondigd dat in de Citrix NetScaler een ernstig beveiligingslek is. Door middel van dit lek kan er op de NetScaler code (Remote Code Execution) uitgevoerd worden.
Simpel uitgelegd gaat het om het volgende: om een aanval uit te voeren wordt er gebruik gemaakt van een zogenaamd “path traversal”. Hiermee zijn er bestanden toegankelijk die niet toegankelijk zouden moeten zijn. In deze bestanden kan code toegevoegd worden waarna de NetScaler deze uitvoert. In het ergste geval kan hiermee de NetScaler overgenomen worden.
Citrix heeft op 17 december een mitigerende maatregel aangedragen. Deze is in de vorm van een “responder policy” op de NetScaler. Mocht er een poging gedaan worden tot de “path traversal” dan geeft de NetScaler een HTTP error 403 terug en kan de aanval niet succesvol uitgevoerd worden. Deze responder policy kan toegevoegd worden via de volgende URL: https://support.citrix.com/article/CTX267679
Mochten er nieuwe mogelijkheden komen om het lek te misbruiken dan kan het zo zijn dat de “responder policy” dit niet blokkeert. Om extra te checken of er aanvallers binnen zijn is het verstandig om regelmatig extra controles uit te voeren op de NetScaler. Deze controles kunnen uitgevoerd worden door met SSH te connecten naar de NetScaler en in de “shell” mode onderstaande commando’s uit te voeren.
Deze controles bieden uiteraard geen 100% zekerheid maar bieden wel een stukje extra inzage.
Controle 1 – Wijzigingen in Templates
Zoek op de NetScaler naar bestanden in de template map. Alle files die vanaf 01-01-2020 zijn gewijzigd (tenzij je zelf een template hebt gewijzigd) zijn verdacht.
Controleer of de .pl (Perl) scripts die gebruikt/aangepast kunnen worden bij het lek nog hetzelfde zijn als bij het initiële bouwen van de NetScaler.
md5 /netscaler/portal/scripts/*
Controleer vervolgens je hashes met onderstaande hashes. Deze zijn origineel van een schone NetScaler.
Controle 4 – Bash.log
Controleer of er geen commando’s met de gebruiker “nobody” zijn uitgevoerd (hier kan een aanvaller onder werken). Dit geldt alleen als er nog geen “privilege escalation” heeft plaatsgevonden.
cat /var/log/bash.log | grep ‘nobody’
gzcat /var/log/bash.*.gz | grep nobody
Controle 5 – HTTPaccess.log
Controleer de http logs of er aanvallen zijn geweest met HTTP status code 200. Deze zijn doorgelaten door de responder policy en hebben mogelijk aanpassingen aan de NetScaler gedaan.
shell cat /var/log/httpaccess.log | grep vpns | grep xml
shell cat /var/log/httpaccess.log | grep “/\.\./”
shell gzcat /var/log/httpaccess.log.*.gz | grep vpns | grep xml
Controleer of er geen crontab (repeterende taken) zijn aangemaakt onder de gebruiker “nobody” of een andere gebruiker. Onderstaande een screenshot van een standaard schone NetScaler.
cat /etc/crontab
crontab -l -u nobody
Controle 7 – Perl / Python
Controleer of er geen “Perl” of “Python” processen draaien die niet standaard zijn. De NetScaler voert intern regelmatig ook diverse scripts uit dus een extra script is niet direct verdacht. Mocht hij aanwezig blijven is onderzoek gewenst.
ps -aux | grep perl
Controle 8 – Cryptominers
Controleer of er geen cryptominers zijn geïnstalleerd. Dit kan eenvoudig gedaan worden door te controleren of er geen script/proces is wat constant 100% CPU vraagt.
top -n 10
https://www.jeroenvanroon.nl/wp-content/uploads/2018/10/JeroenvanRoon_ITblog_spacing-1.png00Jeroen van Roonhttps://www.jeroenvanroon.nl/wp-content/uploads/2018/10/JeroenvanRoon_ITblog_spacing-1.pngJeroen van Roon2020-01-17 19:22:232020-03-29 13:08:13Controles op aanvallen voor Citrix NetScaler CVE-2019-19781
We may request cookies to be set on your device. We use cookies to let us know when you visit our websites, how you interact with us, to enrich your user experience, and to customize your relationship with our website.
Click on the different category headings to find out more. You can also change some of your preferences. Note that blocking some types of cookies may impact your experience on our websites and the services we are able to offer.
Essential Website Cookies
These cookies are strictly necessary to provide you with services available through our website and to use some of its features.
Because these cookies are strictly necessary to deliver the website, refusing them will have impact how our site functions. You always can block or delete cookies by changing your browser settings and force blocking all cookies on this website. But this will always prompt you to accept/refuse cookies when revisiting our site.
We fully respect if you want to refuse cookies but to avoid asking you again and again kindly allow us to store a cookie for that. You are free to opt out any time or opt in for other cookies to get a better experience. If you refuse cookies we will remove all set cookies in our domain.
We provide you with a list of stored cookies on your computer in our domain so you can check what we stored. Due to security reasons we are not able to show or modify cookies from other domains. You can check these in your browser security settings.
Other external services
We also use different external services like Google Webfonts, Google Maps, and external Video providers. Since these providers may collect personal data like your IP address we allow you to block them here. Please be aware that this might heavily reduce the functionality and appearance of our site. Changes will take effect once you reload the page.
Google Webfont Settings:
Google Map Settings:
Google reCaptcha Settings:
Vimeo and Youtube video embeds:
Privacy Policy
You can read about our cookies and privacy settings in detail on our Privacy Policy Page.
