RDP-Hijacking für RDS und RemoteApp

Nur ein kurzer Infosplitter mit einem Hinweis auf ein potentielles Problem. Die Remote Desktop Services können mit lokalen Administratorrechten verwendet werden, um sich per RDP-Hijacking durch ein Netzwerk zu bewegen.


Anzeige

Man kann dann auf Sitzungen anderer Benutzersitzungen zugreifen, ohne deren Passwort zu kennen. Dann lassen sich einige Dinge tun, auch wenn der betreffende Benutzer längst abgemeldet ist. Es lässt sich z.B. auf deren Online-Sitzungen zugreifen. Kevin Beaumon hat da kürzlich per Twitter darauf hingewiesen.

Details zu diesem Thema und zu Abwehrmaßnahmen finden sich in diesem doublepulsar-Beitrag.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu RDP-Hijacking für RDS und RemoteApp

  1. Windoof-User sagt:

    Ein Problem wäre es, wenn ein Systemadminstrator nicht auf Benutzersitzungen zugreifen könnte.

  2. Bernhard Diener sagt:

    Das ist in der beschriebenen Weise (Systemkonto, tscon…) auf Windows 10 v1803 nicht möglich. Die Sitzung wird zwar übernommen, aber man kommt nur auf die Anmeldemaske.
    Bitte nachstellen.

Schreibe einen Kommentar zu Windoof-User Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.