Was ist RDP und welchen Nutzen hat die Technik?
RDP bedeutet Remote Desktop Protokoll. Microsoft entwickelte es für Fernzugriffe auf Rechner mit Windows-Betriebssystemen. Dabei werden über das Internet Steuerungsbefehle und Bildschirmdarstellungen in verschlüsselter Form von einem Rechner auf einen zweiten Rechner übertragen. Die Steuerungsbefehle erfolgen nahezu in Echtzeit. Die Maus- und Tastatureingaben werden dabei auf das Zielgerät übertragen, während gleichzeitig der Bildschirm gespiegelt ist.
In der Praxis ist es so beispielsweise dem Systemadministrator mithilfe der RDP-Technik möglich, von seinem PC aus neue Software auf einem anderen Rechner zu installieren. So viel zur guten Seite der überaus nützlichen Anwendung.
Veränderte Arbeitswelt seit Beginn der Coronakrise erweist sich als Cyberrisiko
Mit Ausbruch der weltweiten Corona-Pandemie hat sich die Arbeitswelt radikal verändert. Viele Mitarbeiter arbeiten nicht mehr in den von der firmeneigenen IT-Sicherheit überwachten Büros an ihren PCs. Durch die erforderlichen Quarantänemassnahmen erfolgt aktuell viel Arbeit vom heimischen Computer aus. Dabei ist es bei der täglichen Arbeit im Homeoffice oft erforderlich, auf sensible Firmendaten zurückzugreifen.
Dieser Zugriff erfolgt meist über das Windows RDP Tool. Mit dieser Anwendung greifen die Mitarbeiter extern auf die vertraulichen Daten ihres Arbeitgebers zu. Eben dieses Vorgehen bildet oftmals eine Schwachstelle, die Cyberkriminelle schnell erkennen und immer häufiger ausnutzen.
RDP Angriffe auf Schwachstellen
Entscheidend für eine sichere Fernsteuerung von Rechnern ist, dass alle Systeme immer auf dem neuesten Stand sind. Dazu ist Grundvoraussetzung, dass alle beteiligten Geräte über sämtliche Sicherheitsupdates und Patches für das Betriebssystem verfügen. Regelmässig geänderte und sichere Passwörter erschweren unberechtigten Angreifern einen Zugang zum Rechner. Darüber hinaus ist der RDP-Zugriff auch technisch auf die höchste Sicherheitsstufe zu heben.
Aus technischer Sicht verwendet RDP den TCP-Port 3389. Vom Grundsatz her ist diese Anwendung vor allem bei der Anmeldung durch eine gute Verschlüsselung vor RDP Angriffen geschützt. In vielen, vor allem privaten Windows-Systemen hingegen wird lediglich die unzureichende Verschlüsselung über „RDP-Security“ verwendet. Ein Schwachpunkt ist dabei, dass hier immer noch das überholte RC4 mit 40-Bit-Schlüsseln Anwendung findet. Zusätzlich verwendet „RDP-Security“ mit allen Private Keys am RDP-Server den identischen, bereits öffentlich bekannten Microsoft-Schlüssel als Signatur. Dies ist ein einfaches Einfallstor für Cyberkriminelle und entsprechende RDP Angriffe, um Zugangsdaten mitzulesen.
Warum und wie genau Cyberkriminelle RDP Angriffe durchführen
Die Gründe für RDP Angriffe liegen im Diebstahl von sensiblem Firmendaten, die meist einen grossen Schaden für das angegriffene Unternehmen bedeuten. Einer der bekanntesten Angriffe über RDP ist der RDP-Brute-Force-Angriff. Mit einem Netzwerkscanner wie beispielsweise Masscan sucht der Hacker nach IP- oder TCP Portbereichen, welche RDP-Server aktuell ansteuern. Dabei ist ein Scanner wie Masscan in der Lage, in weniger als sechs Minuten das gesamte Internet zu durchsuchen. Ein so ermittelter Server wird direkt von den Hackern attackiert.
Hier kommt das Brute-Force-Tool zum Einsatz. Dieses Tool verfügt über unzählige Kombinationen aus Kennwörtern und Benutzernamen. Damit versuchen die Cyberkriminellen permanent, sich am Server anzumelden. In einigen Fällen passiert es, dass aufgrund der Vielzahl der Angriffe die Serverleistung zusammenbricht. Irgendwann ist die passende Kombination gefunden und der Zugriff auf den Server erfolgt.
Mit einem Administratorenzugriff über RDP haben Cyberkriminelle mit dem gehackten Konto Zugriff auf alle Bereiche und Berechtigungen. Anschliessend deaktivieren sie beispielsweise die Antivirensoftware und sind in der Lage, jegliche Art von Malware zu installieren. Zusätzlich besteht Zugriff auf wichtige Unternehmensdaten und bestehende Datensätze können verändert oder verschlüsselt werden. Der Schaden ist für betroffene Unternehmen immens. Eine besonders lukrative Form, die über RDP Angriffe erfolgt, ist die Verschlüsselung von Systemsoftware über eine Ransomware-Infektion. Danach verlangen die Hacker von den geschädigten Firmen beträchtliche Lösegelder.