In Zeiten von HomeOffice, ob gewollt oder nicht, nutzen immer mehr Menschen die Vorteile des sogenannten Remote Desktop Protokolls (RDP). Dieses erlaubt die Steuerung des Büro PCs über das Internet und damit Zugriff auf die bürointernen Dateien und Programme. Doch RDP birgt viele Gefahren, die es auch zum Liebling der Cyberkriminellen machen.

Für Admins in Windows-Netzen ist die Fernsteuerung via Remote Desktop schon lange unverzichtbar. Neuerdings erfährt sie durch die Nutzung aus dem Homeoffice weiteren Aufschwung. Doch das Remote Desktop Protocol birgt eine Vielzahl an Gefahren, die zum Missbrauch geradezu einladen.

Auf fast allen illegalen Marktplätzen und in einschlägigen Foren werden so genannte “Dediks” angeboten. Das ist der von “Dedicated Server” abgeleitete Name für einen Hintertür-Zugang via RDP. Für ein paar Euro bekommt man die Zugangsdaten von Windows-Systemen, die aus dem Internet via RDP erreichbar sind. In aller Regel handelt es sich dabei auch gleich um Administrator-Konten.

RDP als Einfallstor für Ransomware

Diese werden dann von ihren Käufern als nicht zurückverfolgbare Zwischenstationen für illegale oder zumindest zweifelhafte Aktivitäten wie den massenhaften Spam-Versand verwendet. Doch es hat sich auch ein anderes Geschäftsmodell rund um RDP entwickelt. So erklärte das FBI im März, dass RDP der wichtigste Einfallsvektor für Ransomware sei. Gemäß der FBI-Statistik ist RDP für 70 bis 80 Prozent der Einbrüche verantwortlich, in denen schlussendlich Erpressungstrojaner wichtige Daten verschlüsseln und anschließend Lösegeldforderungen in beträchtlicher Höhe auf die Firmen zukommen.

Cyberkriminelle machen es sich dabei leicht, indem sie aus dem reichlichen Angebot direkt 1000er Blöcke kaufen und nach und nach die Zugänge ausprobieren. Lohnenswert wird es oft schon ab ein oder zwei korrekten Zugängen.

Millionen angreifbarer RDP-Systeme

Für stetigen Nachschub an Dediks ist gesorgt. Die Suchmaschine Shodan spuckt derzeit deutlich über 4 Millionen direkt aus dem Internet erreichbare RDP-Systeme aus. In Deutschland bilanzierte der CERT-Bund erst kürzlich etwa 170.000. Viele davon sind nachlässig konfiguriert und geben so viele Informationen preis, dass Brute-Force-Angriffe gute Erfolgschancen haben.

Im Untergrund werden sogar kommerzielle Angriffs-Tools verkauft, die sich großer Beliebtheit erfreuen und seit Jahren stetig weiterentwickelt werden. So kann man mit RDP Brute mit wenigen Mausklicks und ohne IT-Security-Kenntnisse systematische Scans und Angriffe gegen beliebige IP-Ranges fahren.

Doch damit nicht genug: Viele Systeme stehen sogar sperrangelweit offen. Bluekeep ist der Name der Sicherheitslücke CVE-2019-0708, über die Kriminelle ein Windows-System mit aktivem RDP direkt übernehmen können. Seit Microsoft im Mai 2019 den Patch dagegen veröffentlicht hat, wird der CERT-Bund nicht müde, vor der Gefahr zu warnen. Doch Ende März 2020 zählten sie immer noch rund 5400 verwundbare System allein in Deutschland. Das sind immer noch mehr als ein Drittel der ursprünglich anfälligen 15.000!

Da es einen öffentlich verfügbaren Exploit und sogar Anleitungen gibt, wie man das ausnutzen kann, sind das 5400 leicht aufzuspürende Systeme, die nur darauf warten, gekapert zu werden. Und die Eigentümer beziehungsweise deren Provider ignorieren alle diesbezüglichen Warnungen hartnäckig. International sieht die Situation teilweise noch schlimmer aus.

Fernsteuerung versus Hintertür

Dass sich RDP so perfekt für die Fernsteuerung von Windows-Systemen eignet, machen sich Cyberkriminelle auch für Persistenz und die Ausbreitung in Firmennetzen (Lateral Movement) zunutze. Statt spezielle Hintertüren zu platzieren, nutzen sie einfach RDP für den Zugang. So beobachten Incident-Response-Spezialisten in Folge von Emotet-Infektionen häufig, dass sich Kriminelle via RDP auf kompromittierten Systemen anmelden, um sich im Netz umzuschauen und das weitere Vorgehen zu planen.

Und schließlich bietet auch Einsatz von RDP innerhalb von Firmennetzen viele Ansatzpunkte für Angriffe. So lassen sich oft durch einfache Downgrade-Attacken als Man-in-the-Middle Zugangsdaten etwa von Administratoren erbeuten. Wer also RDP für Homeoffice, Administration oder Fernwartung einsetzen will oder muss, sollte sich genau über dessen Funktionsweise und insbesondere die damit verbundenen Risiken informieren.

Im nächsten Teil der Serie erfahren Sie, wie RDP in seinen Grundzügen funktioniert und wie Best Practices während der Einrichtung Ihr Unternehmen schützen können.

Sie suchen Beratung im Bereich Cybersecurity, oder möchten Ihr Unternehmen zukunftssicher gegen Angreifer von Außen schützen? Sprechen Sie uns gerne an!

Manuel Lehrke

Der Artikel hat Ihnen gefallen?

Abonnieren Sie unseren Newsletter für IT-Entscheider!

Kommentarbereich geschlossen.