Immer mehr Firmen setzen auf mobiles Arbeiten für Ihre Mitarbeiter, um deren Arbeitsweg zu reduzieren, Flexibilität zu bieten und Fachkräfte ortsunabhängig anwerben zu können. Hier kann das Remote Desktop Protocol (RDP) als einfache Lösung zwar verlockend sein, bietet aber leider auch eine extrem riskante Angriffsfläche für das Unternehmensnetzwerk.
Die Mehrheit der Nutzer von beispielsweise großen Konzernen verbindet sich von zu Hause oder unterwegs mittels gesichertem VPN-Zugang mit dem Firmennetzwerk. Damit ist der ungeschützte, externe Zugriff auf die IT-Systeme über das RDP-Protokoll nicht notwendig. Der Mitarbeiter erhält dennoch über den privaten Tunnel geschützten Zugriff auf die Daten. Bei vielen kleinen und mittelständischen Unternehmen ist dies jedoch nicht der Fall. Hier wird teilweise fahrlässig der Standard-Port 3389 des Microsoft Windows RDP-Protokolls auf die einzelnen Serversysteme an extern, also dem Internet, freigegeben. Dies ist ein gefundenes Fressen für Hacker und Cyberangreifer. Wenn sich Firmen verstärkt auf Möglichkeiten des mobilen Arbeitens konzentrieren und die Sicherheit außer Acht lassen, werden die Sicherheitslücken besonders schamlos ausgenutzt.
In den letzten Jahren hat sich die Vorgehensweise der Hacker und Cyberangreifer weitgehend geändert und die Konzentration liegt fast vollständig bei Netzwerkzugriffen mittels RDP. Somit ist das RDP-Protokoll nach wie vor ein valider Grund für schlaflose Nächte bei Mitarbeitern der IT-Abteilungen.
Der führende Security-Anbieter Sophos hat seine Studie „RDP Exposed: The Threat That’s Already at your Door” (Link: https://www.sophos.com/RDP) abgeschlossen und die Langzeitergebnisse veröffentlicht. In dieser erklärt Matt Boddy, Security-Spezialist bei Sophos und Leiter der Studie: „In jüngster Zeit hat ein Fehler bei der Ausführung des Remote-Code im RDP – genannt BlueKeep (CVE-2019-0708) – für Schlagzeilen gesorgt“. Für den Spezialisten ist dies eine schwerwiegende Schwachstelle. Sie kann dazu genutzt werden eine Ransomware-Welle auszulösen, die sich innerhalb von Stunden weltweit ausbreiten könnte. Er ergänzt: „Die Absicherung gegen RDP-Bedrohungen geht weit über das Patchen von Systemen gegen BlueKeep hinaus, denn dies ist nur die Spitze des Eisbergs. Zudem müssen IT-Manager dem RDP deutlich mehr Aufmerksamkeit schenken. Denn wie unsere Studie zeigt, attackieren Cyber-Kriminelle alle potenziell gefährdeten Computer mit RDP, indem sie versuchen die Passwörter herauszufinden.“
Die RDP-Studie von Sophos zeigt, wie Angreifer RDP-fähige Geräte bereits kurz nach dem Erscheinen im Internet finden. Als Demonstration setzte Sophos zehn geografisch verteilte Honeypots ein, also Computersysteme oder Netzwerkkomponenten. Diese sollen gezielt Angreifer anlocken, um RDP-basierte Risiken zu messen und zu quantifizieren. Sie lassen sich einsetzen, um Angriffsmethoden zu studieren, von anderen Systemen abzulenken oder Hackern eine Falle zu stellen. Alle zehn Honeypots erhielten ihren ersten RDP-Login-Versuch innerhalb eines Tages und protokollierten insgesamt 4.298.513 fehlgeschlagene Anmeldeversuche über einen Zeitraum von 30 Tagen. Dies entspricht einem Angriffsversuch alle sechs Sekunden! Die Studie von Sophos zeigt außerdem, dass Cyber-Kriminelle ihre eigenen Werkzeuge und Techniken haben, um offene RDP-Quellen ausfindig zu machen. Sie verlassen sich nicht nur auf Websites von seriösen, zentralisierten Security-Drittanbietern (z. B. Shodan) oder bereits bekannten Datenbanken aus dem Darknet.
Sophos hat auf der Grundlage der durchgeführten Studie drei unterschiedliche Angriffsmuster identifiziert:
Der Widder ist eine Strategie, die darauf abzielt, die Passwörter der oft standardmäßig eingerichteten Administratorennutzer zu hacken. Ein Beispiel der Studie zeigt, dass ein Angreifer im Laufe von zehn Tagen 109.934 Anmeldeversuche an einem in Irland platzierten Honeypot machte, um Zugang zu erhalten. Es wurden gezielt drei default Admin-Nutzernamen ausgetestet.
Der Schwarm ist eine Strategie, die sequenzielle Benutzernamen und eine endliche Anzahl der schlechtesten Passwörter verwendet. Ein Beispiel aus der Studie: In Paris wurde ein Angreifer registriert, der den Benutzernamen ABrown neunmal innerhalb von 14 Minuten verwendete, gefolgt von neun weiteren Versuchen mit dem Benutzernamen BBrown, anschließend mit CBrown, gefolgt von DBrown und so weiter. Das Muster wurde mit A.Mohamed, AAli, ASmith und anderen wiederholt.
Der Igel ist gekennzeichnet durch eine hohe Aktivität, gefolgt von längeren Inaktivitätsphasen. Ein Beispiel in Brasilien zeigte, dass jeder Spike (Häufung von Angriffsversuchen), der von einer bestimmten Absender-IP-Adresse erzeugt wird, etwa nur vier Stunden andauert und aus jeweils 3.369 bis 5.199 Passwortversuchen besteht. Oft werden diese Wellen auch in Lastarmen Zeiten nachgewiesen, zum Beispiel, wenn nachts in den Firmen die Systeme, Netzwerke und Firewalls nicht durch aktives IT-Personal überwacht werden können.
Alle Honeypots wurden innerhalb weniger Stunden entdeckt, nur weil sie per RDP im Internet sichtbar waren.
Der grundlegende Lösungsansatz besteht darin, den Einsatz von RDP so weit wie möglich zu reduzieren oder einen gesicherten VPN-Zugang zur Verfügung zu stellen. Wenn die RDP-Nutzung nicht reduziert werden kann, sollte sichergestellt werden, dass Nutzern nur ein eingeschränkter Zugriff von extern (Internet) erlaubt wird. Mit RDP sind Admin-Accounts besonders kritisch zu bewerten. Zusätzlich sind alle Passwörter durch die höchsten Sicherheitsstufen (definiert durch Länge und Komplexität) im Unternehmen zu definieren. Außerdem sollten RDP-Ports von extern blockiert und nur für bestimmte, bekannte und dokumentierte Quell-Netzwerke freigegeben werden.
Einen Kommentar schreiben