FBI warnt vor per Internet erreichbaren RDP-Zugängen

Das amerikanische FBI warnt über sein Internet Crime Complaint Center (IC3) vor den Gefahren von Angriffen per Internet auf Computer mittels RDP-Verbindungen. In den letzten Jahren konnte eine steigende Anzahl an Angriffen beobachtet werden.


Anzeige

Ich wurde vor einigen Tagen per Twitter auf die Warnung des FBI bzw. das Thema aufmerksam gemacht.

Was ist RDP?

Das Remote Desktop Protocol (RDP) ist ein proprietäres Netzwerkprotokoll von Microsoft. RDP ermöglicht es einer Person, die Ressourcen und Daten eines Computers über das Internet zu steuern. Dieses Protokoll ermöglicht die vollständige Kontrolle über den Desktop einer entfernten Maschine, indem es Eingaben wie Mausbewegungen und Tastenanschläge überträgt und eine grafische Benutzeroberfläche zurückschickt.

Damit eine Remote-Desktopverbindung hergestellt werden kann, müssen sich die lokalen und entfernten Computer über einen Benutzernamen und ein Passwort authentifizieren. Cyber-Akteure können die Verbindung zwischen den Maschinen infiltrieren und Malware oder Ransomware in das entfernte System injizieren. Angriffe mit dem RDP-Protokoll erfordern keine Benutzereingaben, so dass Einbrüche schwer zu erkennen sind.

Angriffe steigen

In einer öffentlichen Warnung von FBI und Homeland Security schreibt das IC3: Remote-Administrationswerkzeuge, wie das Remote Desktop Protocol (RDP), als Angriffsvektor, sind seit Mitte 2016 im Aufschwung begriffen, speziell seit RDP-Zugangsdaten im Darknet angeboten werden. Cyber-Kriminelle haben Methoden entwickelt, um gefährdete RDP-Sitzungen über das Internet zu identifizieren und zu nutzen. Damit werden Identitäten gefährdet, Anmeldeinformationen gestohlen und andere sensible Informationen abgezogen.

Das Federal Bureau of Investigation (FBI) und das Department of Homeland Security (DHS) empfehlen Unternehmen und Privatpersonen, zu überprüfen, welche Fernzugriffe ihre Netzwerke erlauben und was damit möglich ist. Anschließend sind Maßnahmen zu ergreifen, um die Wahrscheinlichkeit der Kompromittierung zu senken. Dazu gehört auch die Deaktivierung von RDP-Zugängen auf Rechnern, wenn diese nicht benötigt werden.

Häufige Schwachpunkte bei RDP

Im Dokument werden verschiedene Schwachpunkte genannt, die bei RDP-Zugängen immer wieder auffallen.

  • Schwache Passwörter – z.B. Passwörter, die Begriffe aus dem Wörterbuch verwenden oder keine Mischung aus Groß-/Kleinschreibung, Zahlen und Sonderzeichen enthalten – sind anfällig für Brute-Force-Angriffe und Wörterbuchangriffe.
  • Veraltete RDP-Versionen können einen fehlerhaften Verschlüsselungsmechanismus (CredSSP), verwenden, was einen möglichen Man-in-the-Middle-Angriff ermöglicht. Hier hatte Microsoft in den letzten Monaten Sicherheitsupdates veröffentlicht.
  • Ermöglicht uneingeschränkten Zugriff auf den Standard-RDP-Port (TCP 3389), oder es sind eine unbegrenzte Anmeldeversuche bei einem Benutzerkonto möglich.

Anzeige

Solche Schwachstellen sollten im Sinne der Sicherheit unbedingt beseitigt werden. Das IC3 führt in seinem Report diverse Beispiele für Bedrohungen durch Ransomware an.

Empfehlungen für den Schutz

Der Einsatz von RDP birgt Risiken, da es ermöglicht, ein System vollständig fernzusteuern. Daher sollte die RDP-Nutzung eng geregelt, überwacht und kontrolliert werden. Das FBI und das DHS empfehlen die Implementierung der folgenden Best Practices zum Schutz vor RDP-basierten Angriffen:

  • Überprüfen Sie Ihr Netzwerk auf Systeme, die RDP für die Fernkommunikation verwenden. Deaktivieren Sie den Dienst, wenn Sie ihn nicht benötigen, oder installieren Sie verfügbare Patches.
  • Überprüfen Sie, ob alle Cloud-basierten Instanzen virtueller Maschinen mit einer öffentlichen IP keine offenen RDP-Ports haben, insbesondere Port 3389, es sei denn, es liegt ein triftiger Geschäftsgrund vor.
  • Stellen Sie jedes System mit einem offenen RDP-Port hinter eine Firewall und verlangen Sie, dass Benutzer ein Virtual Private Network (VPN) verwenden, um über die Firewall darauf zuzugreifen.
  • Aktivieren Sie sichere Passwörter und Kontosperrrichtlinien, um sich gegen Brute-Force-Angriffe zu schützen.
  • Verwenden Sie möglichst eine Zwei-Faktor-Authentifizierung und führen Sie regelmäßige System- und Software-Updates durch. Etablieren Sie eine gute Backup-Strategie.
  • Aktivieren Sie die Protokollierung und stellen Sie sicher, dass die Protokollierungsmechanismen RDP-Logins erfassen. Bewahren Sie die Protokolle mindestens 90 Tage lang auf und überprüfen Sie sie regelmäßig, um Einbruchsversuche zu erkennen.
  • Halten Sie sich bei der Erstellung von Cloud-basierten virtuellen Maschinen an die Best Practices des Cloud-Anbieters für den Fernzugriff.
  • Stellen Sie sicher, dass Dritte, die einen RDP-Zugang benötigen, verpflichtet sind, interne Richtlinien für den Fernzugriff einzuhalten.
  • Minimieren Sie die Netzwerkbelastung für alle Geräte des Steuerungssystems. Wenn möglich, sollten kritische Geräte nicht RDP-fähig sein.

Regulieren und begrenzen Sie externe zu internen RDP-Verbindungen. Wenn ein externer Zugriff auf interne Ressourcen erforderlich ist, verwenden Sie sichere Methoden, wie z. B. VPNs, wobei erkannt wird, dass VPNs nur so sicher sind wie die angeschlossenen Geräte.


Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu FBI warnt vor per Internet erreichbaren RDP-Zugängen


  1. Anzeige
  2. Windoof-User sagt:

    Es ist immer wieder bemerkenswert, dass die leider weitverbreitete Nutzung des “Administrator”-Kontos für staatlich bestellte “Experten” offensichtlich kein Problem darstellt, obgleich mehrheitlich alle RDP-Angriffe auf dieses Konto abzielen. Kein Wunder also, dass diese “Experten” nicht einmal in der Lage sind, staatseigene Netzwerke zu sichern.

  3. wufuc_MaD sagt:

    ich kann mir denken warum..

    see //ge.tt/4OvxKwr2

    ich hab gewarnt dass das kommt – nun ist es bereit, auf allen win 10 maschinen die am netz hängen! jederzeit bereit für den “final step” (dateiname einer config datei im system32 ordner)! ich wurde nicht gefragt.. hatte sehr viel ärger und hat mich zeit gekostet mein win 10 wiederherzustellen / lockdowns zu verbessern..

    passt auf euch auf! gruß!

  4. Anzeige

  5. Holger sagt:

    Hier muss man unterscheiden zwischen RDP-Zugriffen auf Server und auf Clients. In einer einigermaßen gut administrierten Windows-Domäne muss man mindestens Domänen-Administratorrechte haben. um auf Server und Clients zu gelangen. Über GPOs kann man das dann noch weiter absichern. Ein Angreifer müsste dann sich entsprechende Rechte in der Domäne erst besorgen.

    Problematisch ist aber dann der Zugriff auf Clients, wenn keine Domäne und keine Richtlinien vorhanden sind oder die Computer gar nicht adminiustriert werden, weil das Knowhow fehlt. Standardmäßig ist leider der RDP-Zugriff bei Clients aktiviert.

    RDP ist ein Protokoll, das Microsoft zuerst entwickelt hat, um Administratoren den Fernzugriff auf Server zu ermöglichen (Windows Terminalserver). Erst mit Windows XP wurde meines Wissens auch der Zugriff auf Clients implementiert.

    • Windoof-User sagt:

      Das der RDP-Zugriff auf “Clients” standardmäßig aktivert sein soll, ist ein Mythos.

      • Holger sagt:

        Remoteunterstützungsverbindungen für diesen Computer zulassen – default=checked

        und das bei allen Windows-Versionen seit XP

        Wie es bei Windows 10 aussieht, müsste ich erst testen. Derzeit habe ich keine aktive Windows 10 Version zuhause.

        • Martin sagt:

          Remoteunterstützungsverbindungen sind nicht der Remotedesktopdienst, der in der selben Registerkarte darunter aufgeführt ist.

  6. wufuc_MaD sagt:

    VPN… lach, nach der wiederherstellung meines pc gestern (10 stunden) hab ich auch softether entfernt weil es von ms buchstäblich für die übernahme meines windows missbraucht wurde (ordner verschoben, treiber ausgetauscht, verbindungen geloggt, per tunnel das protokoll für andere zwecke genutzt. im abschlussfenster steht dann auch nochmal klar und deutlich, dass softether ein, kurz: regierungswerkzeug ist. punkt.

    da es ab morgen knallen wird, hier noch ein paar ausführungen:

    zitat aus einem forum (10.2016)
    “AW: Internet wird langsamer und Programme öffnen sich nicht mehr

    Habe mal unter Ereigniseigenschaften geschaut und folgendes gefunden :

    Änderungen für Paket KB3194496 werden initiiert. Der aktuelle Status ist “Abwesend”. Der Zielstatus ist “Bereitgestellt”. Client-ID: WindowsUpdateAgent.

    Der Status des Pakets KB3194496 konnte nicht in “Bereitgestellt” geändert werden. Status: 0x800f0816.

    Änderungen für Paket KB777778 werden initiiert. Der aktuelle Status ist “Installiert”. Der Zielstatus ist “Abwesend”. Client-ID: RetailDemoService.

    Änderungen für Paket KB777778 werden initiiert. Der aktuelle Status ist “Installiert”. Der Zielstatus ist “Abwesend”. Client-ID: RetailDemoService.

    Der Status des Pakets KB777778 wurde erfolgreich in “Abwesend” geändert.

    Änderungen für Paket KB3194496 werden initiiert. Der aktuelle Status ist “Aufgelöst”. Der Zielstatus ist “Installiert”. Client-ID: WindowsUpdateAgent.

    Damit der Status des Pakets KB3194496 in “Installiert” geändert werden kann, ist ein Neustart erforderlich.

    Der Status des Pakets KB3194496 wurde erfolgreich in “Installiert” geändert.

    (HABE ICH ABER NICHT)

    Änderungen für Paket KB3189866 werden initiiert. Der aktuelle Status ist “Abgelöst”. Der Zielstatus ist “Abwesend”. Client-ID: CbsTask.”

    folgendes habe ich auf einem von mir auf die 1809 gehobenen notebook gefunden (von 1709, früher win7..) kaum da es wlan zum gastnetz nach dem upgrade bekommen hat:

    KB777778
    Der Status des Pakets Microsoft-Windows-SNMP-Client-de-DE wurde erfolgreich in “Installiert” geändert.” (das ding hat in diesem fall WUSA lokalisiert..)

    weiter gehts:
    [InstallShield Silent] – Version=v7.00 – File=Log File – [ResponseResult]
    ResultCode=0 – [Application] – Name=Atheros WiFi Driver Installation – Version=3.0
    !Company=Atheros WiFi Driver Installation! – Lang=0409

    WLAN Treiber remote, ge”shim”t & silent (still und heimlich) gegen eine lokalisierte version ausgetauscht. man merkt es wirklich nicht, wie von windows korrekt bemerkt wurde. als ich diese infos hier übernommen (rechte) und kopiert habe, fing die maschine regelrecht an zu kochen, genau so verhielt sich mein pc gestern als er von ms ge”final step”t wurde.

    es gibt noch so viel dazu zu sagen, da ich hier sitze, meinen job liebe (noch), und mir der weg und das ziel (das ich kenne) des gegenwärtigen prozesses an dem ms, intel, hp, google, die darpa, us.gov und noch ein paar wenige beteiligt sind überhaupt nicht gefällt (es wird unnötig hart, ich bin unschlüssig ob es den eintritt von “frieden auf erden” durch “massenkontrolle bis zu anschlag” hinauszögert oder beschleunigt). geheimnisse, und kriminelles vorgehen (microsoft, google, intel, us-defense) beschleunigt es wahrscheinlich nicht, deswegen will ich zeigen was ich sehe, da die technik zu verschleierung fantastisch gut geworden ist (luftkühlung statt wasserkühlung benutzen, keinen silent lüfter benutzen, dann “hört” man die “shims”)

    answers.microsoft.com/en-us/windows/forum/windows_10-update-winpc/windows-update-is-uninstalling-applications/22188e95-d16e-463e-a105-ac701b64340c

    zum schluss noch ein bildchen das zeigt, wie ms vertrauen buchstäblich missbraucht (zertifikate), und die selben tools verwendet, die, seht selbst:
    abload.de/img/microslopkvdxt.jpg

    ms hat es mit der 11, der 22 und der 33 (ms windows remediation) und der.. 9 natürlich, ich hoffe es erinnert sich noch jemand an den 11.09. – das update – zitat:
    “Provides protection against a Spectre Variant 2 vulnerability (CVE-2017-5715) for ARM64 devices. ” – die braucht doch jeder!!! und:
    “After installing this update, Windows no longer recognizes the Personal Information exchange (PFX) certificate that’s used for authenticating to a Wi-Fi or VPN connection. As a result, Microsoft Intune takes a long time to deliver user profiles because it doesn’t recognize that the required certificate is on the device.”

    nachdem man erlebt hat wie das eigene benutzerprofil von lokal in roaming verwandelt wurde (da war doch was… mhhh), und man weiß von welcher art software ms windows und mensch dessen macher sind – und da mag es sich unterscheiden – durch unterbindung von telemetrie mag ms nicht gewusst haben…. und hat mich mit remplv1 (auf den tag genau) und dem neuen geschäftsmodell (ich leiste selbst fast täglich remote support) bis aufs letzte enttäuscht, verärgert, um viel zeit (=geld) beraubt.. es sind betrüger, der tag wird (bald) kommen an dem ich diesem dreckspack und ihrem scheiß windows den rücken kehre!

    abload.de/img/sureh1c04.png
    natürlich bin ich mir sicher (und verliere funktionalität), dann wurden mir 4 statt 2 passende uefi-fw-treiber präsentiert, der originale war nicht mehr dabei. ich erinnere mich gut!

    ich muss das verarbeiten. entschuldigung und danke falls es ein zwei leute lesen, ansehen, und vielleicht einen zum nachdenken und anders handeln bewegt. danke! und habt eine gute zeit mit 918 ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.