Was sind die Sicherheitsrisiken von RDP? | RDP-Schwachstellen

Schwache Benutzerauthentifizierung und Port-Targeting sind zwei der Hauptschwachstellen des Remote Desktop Protocols (RDP).

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Die Risiken des Remote Desktop Protocols (RDP) verstehen
  • Nachvollziehen, wie Sie sich vor diesen Schwachstellen schützen können
  • Cloudflares Lösung für RDP-Sicherheit verstehen

Ähnliche Inhalte


Möchten Sie noch mehr erfahren?

Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!

Lesen Sie die Cloudflare Datenschutzrichtlinie, um zu erfahren, wie wir Ihre persönlichen Daten sammeln und verarbeiten.

Link zum Artikel kopieren

Was ist RDP?

RDP – Remote Desktop Protocol – ist eines der Hauptprotokolle, das für Remote-Desktop-Sitzungen verwendet wird, d. h. wenn Mitarbeiter von einem anderen Gerät aus auf ihre Desktop-Computer im Büro zugreifen. RDP ist in den meisten Windows-Betriebssystemen enthalten und kann auch mit Macs genutzt werden. Viele Unternehmen verlassen sich auf RDP, damit ihre Mitarbeiter von zu Hause aus arbeiten können.

Was sind die größten Sicherheitsschwachstellen eines RDP?

Eine Schwachstelle ist eine Lücke oder ein Fehler in der Konstruktionsweise eines Programms, die es Angreifern ermöglicht, sich unberechtigten Zugang zu verschaffen. Denken Sie an ein unsachgemäß angebrachtes Schloss an einer Haustür, das es Kriminellen ermöglicht, in das Gebäude einzubrechen.

Dies sind die wesentlichen Schwachstellen von RDP:

  1. Schwache Anmeldedaten von Benutzern. Die meisten Desktop-Computer werden durch ein Passwort geschützt. Benutzer können dieses Passwort in der Regel nach Belieben festlegen. Das Problem dabei ist, dass dasselbe Passwort oft auch für RDP-Remote-Anmeldungen verwendet wird. Unternehmen verwalten diese Passwörter in der Regel nicht und achten nicht auf ihre Stärke, und so bleiben diese Remote-Verbindungen oft anfällig für Brute-Force- oder Credential-Stuffing-Angriffe.
  2. Uneingeschränkter Port-Zugang. RDP-Verbindungen erfolgen fast immer über Port 3389*. Angreifer können davon ausgehen, dass dies der aktive Port ist, und ihn u. a. als Ziel für On-Math-Angriffe ausnutzen.

*Im Netzwerkbereich ist ein Port ein logischer, softwarebasierter Ort, der für bestimmte Arten von Verbindungen vorgesehen ist. Durch Zuweisung verschiedener Prozesse zu verschiedenen Ports können Computer den Überblick über diese Prozesse behalten. Zum Beispiel geht HTTP-Traffic immer an Port 80, während HTTPS-Traffic über Port 443 läuft.

Welche Möglichkeiten gibt es, diese RDP-Schwachstellen zu beheben?

Zur Eindämmung der Risiken durch schwache Anmeldedaten:

Single-Sign-On (SSO): Viele Unternehmen nutzen bereits SSO-Dienste, um Benutzeranmeldungen für verschiedene Anwendungen zu verwalten. SSO bietet Unternehmen eine einfachere Möglichkeit, die Verwendung starker Passwörter durchzusetzen und noch sicherere Maßnahmen wie Zwei-Faktor-Authentifizierung (2FA) zu implementieren. Es ist möglich, den RDP-Fernzugriff hinter SSO zu verlagern, um die oben beschriebene Schwachstelle bei der Benutzeranmeldung abzusichern. (Cloudflare Zero Trust zum Beispiel ermöglicht es Unternehmen, genau das zu tun.)

Verwaltung und Verstärkung von Passwörtern: Einigen Unternehmen ist es eventuell nicht möglich, RDP hinter SSO zu verlagern. Als absolutes Minimum sollten sie von ihren Mitarbeitern verlangen, stärkere Desktop-Passwörter zu wählen.

Zum Schutz vor Port-basierten Angriffen:

Sperrung von Port 3389: Durch sichere Tunneling-Software können Angreifer daran gehindert werden, Anfragen zu senden, die Port 3389 erreichen. Mit einem sicheren Tunnel (z. B. Cloudflare Tunnel) werden alle Anfragen, die nicht durch den Tunnel gehen, blockiert.

Firewall-Regeln: Es ist theoretisch möglich, eine Firmen-Firewall manuell so zu konfigurieren, dass kein Traffic zu Port 3389 durchkommen kann, mit Ausnahme von Traffic aus IP-Adressbereichen von Genehmigungslisten (z. B. von Geräten, die bekannterweise Mitarbeitern gehören). Diese Methode erfordert jedoch einen hohen manuellen Aufwand und ist immer noch anfällig für Angriffe, wenn Angreifer eine IP-Adresse von einer Genehmigungsliste ergattern oder wenn Geräte von Mitarbeitern kompromittiert werden. Darüber hinaus ist es in der Regel sehr schwierig, alle Mitarbeitergeräte im Voraus zu identifizieren und auf eine Genehmigungsliste zu setzen, was erfahrungsgemäß zu ständigen IT-Anfragen von gesperrten Mitarbeitern führt.

Welche anderen Schwachstellen gibt es bei RDP?

RDP weist weitere Sicherheitslücken auf, die im Prinzip zwar behoben wurden, aber bei einer unzureichenden Kontrolle immer noch schwerwiegend sind.

Eine der massivsten Schwachstellen bei RDP wird als „BlueKeep“ bezeichnet. BlueKeep (offiziell als CVE-2019-0708 klassifiziert) ist eine Sicherheitslücke, die es Angreifern ermöglicht, jeden beliebigen Code auf einem Computer auszuführen, wenn sie eine speziell gestaltete Anfrage an den richtigen Port (normalerweise 3389) senden. BlueKeep ist wurmfähig, d. h. es kann sich ohne jede Aktion von Benutzern auf alle Computer in einem Netzwerk ausbreiten.

Die beste Verteidigung gegen diese Schwachstelle besteht darin, RDP zu deaktivieren, wenn es nicht gebraucht wird. Es kann außerdem helfen, Port 3389 mit einer Firewall zu blockieren. Schließlich hat Microsoft 2019 ein Patch zur Behebung dieser Schwachstelle herausgegeben, das Systemadministratoren unbedingt installieren müssen.

Wie jedes andere Programm oder Protokoll weist auch RDP mehrere andere Schwachstellen auf, von denen die meisten beseitigt werden können, indem immer die allerneueste Version des Protokolls verwendet wird. Anbieter beheben Sicherheitslücken normalerweise in jeder neu veröffentlichen Softwareversion.

Wie trägt Cloudflare zur Sicherung des Fernzugriffs bei?

Cloudflare Zero Trust und Cloudflare Tunnel erhöhen die Sicherheit für den Fernzugriff, indem sie gemeinsam die beiden oben beschriebenen größten Sicherheitslücken des RDP schließen. Ein Vorteil bei der Verwendung von Cloudflare liegt darin, dass es im Gegensatz zu typischen Unternehmensfirewalls nicht hardwarebasiert ist und keine manuelle Konfiguration erfordert. Zum Schutz von RDP-Verbindungen mit Argo Tunnel sind oft einfach nur ein paar Klicks auf dem Cloudflare-Dashboard nötig. Um mehr über Cloudflare und RDP zu erfahren, können Sie unseren Blogbeitrag lesen oder sich diese Demo ansehen.