Was sind die Sicherheitsrisiken von RDP? | RDP-Schwachstellen

Was ist RDP?

RDP – Remote Desktop Protocol – ist eines der Hauptprotokolle, das für Remote-Desktop-Sitzungen verwendet wird, d. h. wenn Mitarbeiter von einem anderen Gerät aus auf ihre Desktop-Computer im Büro zugreifen. RDP ist in den meisten Windows-Betriebssystemen enthalten und kann auch mit Macs genutzt werden. Viele Unternehmen verlassen sich auf RDP, damit ihre Mitarbeiter von zu Hause aus arbeiten können.

Was sind die größten Sicherheitsschwachstellen eines RDP?

Eine Schwachstelle ist eine Lücke oder ein Fehler in der Konstruktionsweise eines Programms, die es Angreifern ermöglicht, sich unberechtigten Zugang zu verschaffen. Denken Sie an ein unsachgemäß angebrachtes Schloss an einer Haustür, das es Kriminellen ermöglicht, in das Gebäude einzubrechen.

Dies sind die wesentlichen Schwachstellen von RDP:

1. Schwache Anmeldedaten von Benutzern. Die meisten Desktop-Computer werden durch ein Passwort geschützt. Benutzer können dieses Passwort in der Regel nach Belieben festlegen. Das Problem dabei ist, dass dasselbe Passwort oft auch für RDP-Remote-Anmeldungen verwendet wird. Unternehmen verwalten diese Passwörter in der Regel nicht und achten nicht auf ihre Stärke, und so bleiben diese Remote-Verbindungen oft anfällig für Brute-Force- oder Credential-Stuffing-Angriffe.
2. Uneingeschränkter Port-Zugang. RDP-Verbindungen erfolgen fast immer über Port 3389*. Angreifer können davon ausgehen, dass dies der aktive Port ist, und ihn u. a. als Ziel für On-Math-Angriffe ausnutzen.

*Im Netzwerkbereich ist ein Port ein logischer, softwarebasierter Ort, der für bestimmte Arten von Verbindungen vorgesehen ist. Durch Zuweisung verschiedener Prozesse zu verschiedenen Ports können Computer den Überblick über diese Prozesse behalten. Zum Beispiel geht HTTP-Traffic immer an Port 80, während HTTPS-Traffic über Port 443 läuft.

Welche Möglichkeiten gibt es, diese RDP-Schwachstellen zu beheben?

Zur Eindämmung der Risiken durch schwache Anmeldedaten:

Single sign-on (SSO): Many companies already use SSO services to manage user logins for various applications. SSO gives companies an easier way to enforce strong password usage, as well as implementing even more secure measures like two-factor authentication (2FA). It is possible to move RDP remote access behind SSO in order to shore up the user login vulnerability described above. (Cloudflare Zero Trust, for instance, allows companies to do this.)

Verwaltung und Verstärkung von Passwörtern: Einigen Unternehmen ist es eventuell nicht möglich, RDP hinter SSO zu verlagern. Als absolutes Minimum sollten sie von ihren Mitarbeitern verlangen, stärkere Desktop-Passwörter zu wählen.

Zum Schutz vor Port-basierten Angriffen:

Lock down port 3389: Secure tunneling software can help stop attackers from sending requests that reach port 3389. With a secure tunnel (e.g. Cloudflare Tunnel) in place, any requests that do not pass through the tunnel will be blocked.

Firewall-Regeln: Es ist theoretisch möglich, eine Firmen-Firewall manuell so zu konfigurieren, dass kein Traffic zu Port 3389 durchkommen kann, mit Ausnahme von Traffic aus IP-Adressbereichen von Genehmigungslisten (z. B. von Geräten, die bekannterweise Mitarbeitern gehören). Diese Methode erfordert jedoch einen hohen manuellen Aufwand und ist immer noch anfällig für Angriffe, wenn Angreifer eine IP-Adresse von einer Genehmigungsliste ergattern oder wenn Geräte von Mitarbeitern kompromittiert werden. Darüber hinaus ist es in der Regel sehr schwierig, alle Mitarbeitergeräte im Voraus zu identifizieren und auf eine Genehmigungsliste zu setzen, was erfahrungsgemäß zu ständigen IT-Anfragen von gesperrten Mitarbeitern führt.

Welche anderen Schwachstellen gibt es bei RDP?

RDP weist weitere Sicherheitslücken auf, die im Prinzip zwar behoben wurden, aber bei einer unzureichenden Kontrolle immer noch schwerwiegend sind.

Eine der massivsten Schwachstellen bei RDP wird als „BlueKeep“ bezeichnet. BlueKeep (offiziell als CVE-2019-0708 klassifiziert) ist eine Sicherheitslücke, die es Angreifern ermöglicht, jeden beliebigen Code auf einem Computer auszuführen, wenn sie eine speziell gestaltete Anfrage an den richtigen Port (normalerweise 3389) senden. BlueKeep ist wurmfähig, d. h. es kann sich ohne jede Aktion von Benutzern auf alle Computer in einem Netzwerk ausbreiten.

Die beste Verteidigung gegen diese Schwachstelle besteht darin, RDP zu deaktivieren, wenn es nicht gebraucht wird. Es kann außerdem helfen, Port 3389 mit einer Firewall zu blockieren. Schließlich hat Microsoft 2019 ein Patch zur Behebung dieser Schwachstelle herausgegeben, das Systemadministratoren unbedingt installieren müssen.

Wie jedes andere Programm oder Protokoll weist auch RDP mehrere andere Schwachstellen auf, von denen die meisten beseitigt werden können, indem immer die allerneueste Version des Protokolls verwendet wird. Anbieter beheben Sicherheitslücken normalerweise in jeder neu veröffentlichen Softwareversion.

Wie trägt Cloudflare zur Sicherung des Fernzugriffs bei?

Cloudflare Zero Trust and Cloudflare Tunnel jointly close off the two main vulnerabilities in RDP described above. One advantage of using Cloudflare is that, unlike typical corporate firewalls, it is not hardware-based and does not require manual configuration. Protecting RDP connections with Argo Tunnel is often as simple as a few clicks from the Cloudflare dashboard. To learn more about Cloudflare and RDP, read our blog post or watch this demo.