Der Journalist und Blogger Brian Krebs hat eine interessante Entdeckung gemacht: Laut seinem Blog-Beitrag bieten Kriminelle Remote-Zugänge in die internen Netzwerke von Fortune-500-Unternehmen an. Über das Remote Desktop Protokoll, kurz RDP, können sich externe Nutzer auf die Server aufschalten und diese für eigene Zwecke nutzen. Die eigentlichen Administratoren haben keinerlei Ahnung, wer sich da mit ihren Servern verbindet. Laut Krebs bieten die Kriminellen aktuell 17 000 verschiedene Systeme an, seit dem Start des „Dienstes“ in 2010 sah er mehr als 300 000 Rechner.
Die Kriminellen benötigen dafür keine Schwachstelle in RDP, sondern sie setzen auf legitime Installationen, bei denen die Administratoren entweder Standard-Logins oder schwache Passwörter verwenden. Im Test hatte Krebs etwa Zugriff auf einen Windows-2003-Server beim Netzwerkausrüster Cisco (Nutzername und Passwort lautete in beiden Fällen „Cisco“). Dieser Zugriff wurde von einem Sicherheitsexperten von Cisco bestätigt, Krebs hatte tatsächlich Zugriff auf eine Labor-Maschine innerhalb des Cisco-Netzwerkes.
Die angebotenen, anfälligen Systeme wurden dabei in den seltensten Fällen von den Anbietern des zweifelhaften Dienstes selbst entdeckt. Vielmehr haben sie ein komplettes Partnerprogramm aufgebaut: Kriminelle Hacker können dort die von ihnen gefundenen Systeme eintragen und werden am Umsatz beteiligt.
Um die eigene RDP-Installation abzusichern sollten Administratoren also in jedem Fall auf ein starkes Kennwort setzen und selbst in Testumgebungen auf Standard-Logins verzichten. Zudem lässt sich die Kommunikation zwischen Server und Host mit zusätzlicher Authentifizierung absichern. Mehr dazu finden Sie in diesem TechNet-Eintrag. Weitere Informationen finden interessierte Leser in unserem offiziellen Blog rund um Remote Desktop Service, darunter etwa auch den Eintrag zu den größten Sicherheitsmythen zu RDP oder wie RemoteFX den Zugang in Windows 8 und Server 2012 regelt.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.