De Wannacry Ransomware die actief geworden is op 12 mei 2017 heeft voor heel wat opschudding gezorgd.
Er wordt door deze ransomware gebruik gemaakt van een SMB exploit in Windows. Ondertussen heeft deze ransomware al voor meer dan 230.000 getroffen computers gezorgd in meer dan 150 landen !
Microsoft heeft hier in maart reeds een patch voor uitgebracht, maar deze moet dan wel geinstalleerd zijn om effectief te zijn.
Netwerkbeheerders die met heel veel client en server computers te maken hebben, hebben hier nog wel even werk aan om te controleren of overal de patch geinstalleerd is.
Of toch niet ?…..
Lansweeper gebruiken
We hebben het al eens vaker over Lansweeper gehad en dat dit een onmisbaar stukje software is voor netwerkbeheerders.
Zo ook in dit geval !
In Lansweeper kunnen we namelijk rapporten genereren. Standaard heeft Lansweeper er al een heel aantal, maar je kunt ook rapporten zelf maken met variabelen naar jouw eigen wens.
We kunnen dus een rapport genereren met computers die de MS17-010 patch niet geinstalleerd hebben.
Rapport maken en query uitvoeren
Als eerste moeten we zorgen dat Lansweeper de laatste informatie heeft over alle windows computers.
Dat doen we door alle Windows Assets te rescannen :
Hover over het menu Assets en klik op Windows
Nu kom je in een lijst terecht met alle Windows computers. Klik hier op Rescan Assets
Als alle Windows Assets gescand zijn, kun je het rapport gaan draaien. Maar eerst moeten we deze maken :
Open de Report Builder :
Selecteer de SQL query hieronder en plak deze in het rapport in het onderste veld. Vervang hierbij de standaard SQL query van Lansweeper.
Klik daarna ergens in het bovenste veld op een leeg stuk om de SQL query te activeren.
Geef het rapport een naam, druk op Save & Run om het rapport op te slaan en te runnen.
Alle computers die in dit rapport worden weergegeven hebben nog niet de patch geinstalleerd.
Deze computers hebben dus je aandacht nog nodig !
SQL query code in het rapport plakken
Kopieer en plak onderstaande code in je Lansweeper Rapport.
Select Top 1000000 Coalesce(tsysOS.Image, tsysAssetTypes.AssetTypeIcon10) As
icon,
tblAssets.AssetID,
tblAssets.AssetName,
tblAssets.Domain,
tblAssets.Username,
tblAssets.Userdomain,
tblAssets.IPAddress,
tsysIPLocations.IPLocation,
tblAssetCustom.Manufacturer,
tblAssetCustom.Model,
tsysOS.OSname As OS,
tblAssets.SP,
Case When tblAssets.Lastseen Is Null Then ‘Unknown’ Else ‘Vulnerable’
End As IsVulnerable,
Case When tsysOS.OSname = ‘Win XP’ Or tsysOS.OSname = ‘Win 2003’ Or
tsysOS.OSname = ‘Win 2003 R2’ Or tsysOS.OSname = ‘Win 8’ Then ‘KB4012598’
When tsysOS.OSname = ‘Win Vista’ Or
tsysOS.OSname = ‘Win 2008’ Then ‘KB4012598’ When tsysOS.OSname = ‘Win 7’ Or
tsysOS.OSname = ‘Win 7 RC’ Or
tsysOS.OSname =
‘Win 2008 R2’ Then ‘KB4012212 / KB4012215 / KB4015549 / KB4019264’
When tsysOS.OSname =
‘Win 2012’ Then ‘KB4012214 / KB4012217 / KB4015551 / KB4019216’
When tsysOS.OSname = ‘Win 8.1’ Or
tsysOS.OSname =
‘Win 2012 R2’ Then ‘KB4012213 / KB4012216 / KB4015550 / KB4019215’
When tblOperatingsystem.Version Like ‘%10240%’ Then
‘KB4012606 / KB4015221 / KB4019474’
When tblOperatingsystem.Version Like ‘%10586%’ Then
‘KB4013198 / KB4015219 / KB4019473’
When tblOperatingsystem.Version Like ‘%14393%’ Or
tsysOS.OSname = ‘Win 2016’ Then ‘KB4015438 / KB4015217 / KB4019472’
When tsysOS.OScode Like ‘10.0%’ And tsysOS.OScode Not In (Select Top 1000000
tsysOS.OScode From tsysOS
Where
tsysOS.OScode Like ‘10.0%’) Then
‘KB4012606 / KB4015221 / KB4019474 / KB4015438 / KB4015217 / KB4019472’
Else Null End As [Install one of these updates],
tblAssets.Lastseen,
tblAssets.Lasttried
From tblAssets
Inner Join tblAssetCustom On tblAssets.AssetID = tblAssetCustom.AssetID
Left Join tsysOS On tsysOS.OScode = tblAssets.OScode
Inner Join tsysAssetTypes On tsysAssetTypes.AssetType = tblAssets.Assettype
Inner Join tblOperatingsystem On tblOperatingsystem.AssetID =
tblAssets.AssetID
Left Join tsysIPLocations On tblAssets.IPNumeric >= tsysIPLocations.StartIP
And tblAssets.IPNumeric <= tsysIPLocations.EndIP
Where
tblAssets.AssetID Not In (Select Top 1000000 tblQuickFixEngineering.AssetID
From tblQuickFixEngineering Inner Join tblQuickFixEngineeringUni
On tblQuickFixEngineeringUni.QFEID = tblQuickFixEngineering.QFEID
Where tblQuickFixEngineeringUni.HotFixID In (‘KB4012216’, ‘KB4012215’,
‘KB4012217’, ‘KB4012212’, ‘KB4012213’, ‘KB4012598’, ‘KB4012214’,
‘KB4012606’, ‘KB4013198’, ‘KB4015551’, ‘KB4019216’, ‘KB4015550’,
‘KB4019215’, ‘KB4013429’, ‘KB4019472’, ‘KB4015217’, ‘KB4015438’,
‘KB4016635’, ‘KB4019264’, ‘KB4015549’, ‘KB4015221’, ‘KB4019474’,
‘KB4015219’, ‘KB4019473’)) And tsysOS.OSname != ‘Win 2000 S’ And
tsysAssetTypes.AssetTypename Like ‘Windows%’ And
tsysOS.OScode Not Like ‘10.0.15%’ And tsysOS.OScode Not Like ‘10.0.16%’
Order By tblAssets.Domain,
tblAssets.AssetName
Vertaald uit het Engels, hier de link naar het originele engelstalige artikel