Was Sie über RDP Hijacking wissen sollten

Kriminelle Hacker nutzen Microsofts Remote Desktop Protocol, um die Kontrolle über IT-Systeme zu erlangen. Lesen Sie, wie RDP Hijacking funktioniert und wie Sie es verhindern. [...]

Beim RDP Hijacking hinterlassen die Angreifer im Regelfall keine verwertbaren Spuren. Das müssen Sie zum Thema wissen (c) pixabay.com

Das Remote Desktop Protocol (RDP) unterstützt Administratoren dabei, Windows-Systeme zu managen und User bei Problemen zu unterstützen. Allerdings steht RDP auch bei kriminellen Hackern hoch im Kurs: Die Angriffstechnik RDP Hijacking ermöglicht es ihnen, als vermeintlich legitimer Nutzer Zugang und Kontrolle über IT-Systeme zu erlangen.

Da Remote-Administration und -Management wie es beispielsweise RDP für Windows-Geräte ermöglicht, im Zuge der Coronakrise für Unternehmen aller Branchen erheblich an Bedeutung gewonnen hat, steigt die Gefahr, Opfer von RDP-Hijacking-Attacken zu werden. Ganz abgesehen von den aktuellen Entwicklungen: Alleine aufgrund der Tatsache, dass in der Mehrheit der Unternehmensnetze Windows- und Windows-Server-Systeme miteinander verbunden sind und Admins RDP verwenden, ist es unabdingbar, sich der damit verbundenen Risiken bewusst zu sein.

Lesen Sie, wie die Kompromittierung per RDP vonstatten geht, und wie Sie sich dagegen wappnen können.

RDP Hijacking – Definition

RDP Hijacking ist kein besonders neues Phänomen. Vielmehr handelt es sich um eine Technik, die schon einige Jahre auf dem Buckel hat und oftmals nicht auf gängiger Schwachstellenausnutzung – etwa per Phishing – basiert, sondern völlig legitime Features des RDP Service unter Windows ausnutzt.

Beim RDP Hijacking setzt ein Angreifer eine zuvor beendete RDP-Verbindung fort. Das verschafft ihm Zugang zu privilegierten Systemen, ohne dazu die entsprechenden Login-Daten stehlen zu müssen. Wenn zum Beispiel ein Administrator vor einigen Tagen einen Windows Server per RDP konfiguriert hat, ist es für einen Angreifer deutlich einfacher, diese Session „wiederaufzunehmen“, statt per Social Engineering zu versuchen, an das Passwort des Admins zu gelangen.

Einmal im System angelangt, kann sich der Angreifer lateral durch das Unternehmensnetz bewegen und bleibt dabei unentdeckt – schließlich handelt es sich für Monitoring Software um einen vermeintlich autorisierten Nutzer.

RDP Hijacking – Proof of Concept

Es gibt verschiedene Wege, um eine RDP Session fortzusetzen. Ursprünglich wurde das Vorgehen im Jahr 2011 von Benjamin Delpy, Entwickler des Pentesting Tools mimikatz, entdeckt. Im Jahr 2017 demonstrierte Security-Spezialist Alexander Korznikov, wie sich dieselbe Vorgehensweise für Privilege-Escalation-Angriffe auf Windows-Systeme nutzen lässt.

Passwordless Hijacking

Wir konzentrieren uns in diesem Artikel auf die RDP-Hijacking-Methode, die sich das Windows-Bordmittel Tscon.exe zu Nutze macht. Die Utility ermöglicht es Nutzern, zu einer neuen Remote-Desktop-Session zu wechseln oder zwischen verschiedenen Sessions hin- und herzuwechseln.

Die Syntax des Befehls ist simpel – die Microsoft Knowledge Base gibt Aufschluss darüber, was die einzelnen Parameter nach sich ziehen:

tscon {<SessionID> | <SessionName>} [/dest:<SessionName>] [/password:<pw> | /password:*] [/v]

Das einfachste Beispiel wäre tscon 2: Dieser Befehl würde – auf einem Host Server ausgeführt – den User mit der Session ID 2 verbinden und alle bereits bestehenden Verbindungen trennen. Microsoft selbst warnt jedoch: „Sie müssen bei der Nutzung von Tscon.exe Vorsicht walten lassen, um einen zuvor unzugänglichen Server nicht versehentlich offen zu hinterlassen.“

Um eine fremde Remote-Desktop-Session zu übernehmen, muss der Angreifer mit dem RDP Host verbunden sein. Um das zu bewerkstelligen, ist „Vorarbeit“ nötig: Insofern der Hacker kein Innentäter ist, braucht er entsprechende Zugangsdaten. Besonders gefährlich ist diese Art des Hacker-Angriffs, weil sie regelmäßig auch Bestandteil von APT-Angriffen ist.

Ist ein System – etwa durch Malware – kompromittiert, ermöglicht diese Technik es Angreifern, die Sessions und Umgebungen weiterer Nutzer zu übernehmen, ohne dass dazu ein Passwort nötig ist. Mit Bezug auf das Schaubild würde sich der maliziöse Nutzer bei Client 3 am RDP Server anmelden und wäre in der Lage, alle verbundenen RDP User zu sehen. Dazu braucht er nur folgenden Befehl: query user.

Anschließend reichen die folgenden Eingaben in die Kommandozeile aus, um die laufende Session des Angreifers (ID 2) zu beenden und die zuvor unterbrochene Session 1 zwischen Angreifer und RDP Server wiederaufzunehmen:

sc create hijackedsession binpath= "cmd.exe /k tscon 1 /dest:rdp-tcp#2"

net start hijackedsession

Dabei wird weder ein Passwort abgefragt, noch werden dabei Spuren hinterlassen, die per IT-Forensik ausgewertet werden könnten. Der Grund: Der User, der zuvor an Client 2 aktiv war, hat zwar seine RDP Session beendet, sich aber nicht explizit vom Server abgemeldet.

RDP Hijacking – Abwehrmaßnahmen

Aus genannten Gründen ist eine Monitoring-Lösung kein Mittel gegen RDP Hijacking. Auch ein Betriebssystem-Upgrade schafft keine Abhilfe, denn die Angriffstechnik betrifft so gut wie alle Versionen von Windows Server. Dennoch gibt es zwei wesentliche Verteidigungsmaßnahmen, die Sie gegen RDP Hijacking ergreifen können:

  • Gruppenrichtlinien durchsetzen: Anstatt „getrennte“ Remote-Desktop-Sitzungen länger im Ruhezustand zu belassen, sollten die Einbstellungen in den Gruppenrichtlinien so geändert werden, dass Benutzer entweder sofort oder kurz nach dem Trennen der Verbindung zu einer RDP-Sitzung abgemeldet werden. Das verhindert Passwordless Hijacking.
  • Angriffsfläche verringern: Es macht keinen Sinn, RDP Services und Ports für jedermann im Internet offen zu halten. Allerdings können Einschränkungen im Fall von RDP schnell dazu führen, dass die Remote Administration an ihre Grenzen kommt. Wenn Zugriff über das Internet erforderlich ist, empfiehlt sich an dieser Stelle der Einsatz von Microsoft Remote Desktop Gateway oder Azure Multi-Factor Authentication Server als günstige Lösung zur Multi-Faktor-Authentifizierung.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

*Ax Sharma ist ein Security- und Technologieexperte und schreibt für die US-Schwesterpublikation CSO Online.


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*