Bildquelle: Stefan Coders via Pixabay
16.05.2024

Die Gefahren des Remote Desktop Protokolls: Tipps zur Absicherung

Cybersicherheit | IT-Schutz | Angriffsvektoren

Das Remote Desktop Protokoll (RDP) ist zweifellos ein unschätzbares Werkzeug für die moderne IT-Infrastruktur. Es ermöglicht Nutzern, über das Netzwerk eine Verbindung zu entfernten Computern herzustellen und diese zu steuern. Insbesondere in Unternehmen ist diese Funktion bei der IT-Administration beliebt, sei es für den Support oder die Fernwartung von Systemen.

Doch während RDP zweifellos die Produktivität steigern kann, birgt es auch erhebliche Risiken, insbesondere wenn es nicht angemessen abgesichert ist und offen im Internet zugänglich ist.

Lesen Sie hier, wie Sie Gefahrenherde schließen und das RDP sicher nutzen können.

 

Gefahrenpotentiale des Remote Desktop Protokolls

 

Das Remote Desktop Protokolll (RDP) ist ein wertvolles Werkzeug, mit dem Nutzende über eine Netzwerkverbindung eine Verbindung zu einem entfernten Computer herstellen und diesen steuern können. Besonders beliebt ist diese Funktion bei der IT-Administration in Unternehmen, wenn Mitarbeitende beispielsweise IT-Support benötigen.

Während das RDP die Produktivität im Unternehmen erheblich steigern kann, kann es Ihr System aber auch ernsthaften Risiken aussetzen, wenn Sie es ohne angemessene Sicherheitsmaßnahmen für das Internet offen lassen.

 

Was ist RDP Hijacking?

 

RDP-Hijacking liegt vor, wenn sich Unbefugte Zugang zu Ihrem RDP-fähigen System verschaffen. Cyberkriminelle nutzen häufig Schwachstellen in offenen RDP-Konfigurationen aus, um Angriffe zu starten. Dies kann zu unbefugtem Zugriff, Datenverletzungen und potenzieller Systemgefährdung führen. Die Folgen können schwerwiegend sein und reichen von der Offenlegung oder dem Abfluss sensibler Daten bis hin zum vollständigen Verlust der Kontrolle über Ihr System oder einer Verschlüsselung einer unternehmensweiten Infrastruktur mit einem Ransomware-Trojaner.

Aus unserer Erfahrung heraus raten wir unseren Kunden stets, Dienste zum Internet nicht ohne weitere Absicherung zu exponieren. Dies bedeutet: Man sollte den RDP-Dienst nicht direkt mit dem Internet verbinden, da entsprechende Dienste stets Sicherheitsrisiken bergen. Was wir aus vergangenen Fällen lernen konnten, war, dass Angreifer derartig (ohne zusätzlichen Schutz, wie z.B. einen Firewall oder ein VPN) exponierte Dienste, mittels Brute-Force-Angriffen (Ausprobieren von Listen mit Benutzer- und Passwort-Kombinationen) recht schnell übernehmen konnten und damit innerhalb von wenigen Stunden Zugriff auf ganze Unternehmensinfrastrukturen erlangten konnten.

Angreifer haben es dabei auf die vom Internet freigegebenen Standard-Ports des Dienstes (Port 3389) abgesehen, um sich Zugang zu Netzwerken zu verschaffen. Leider ist auch das Verändern dieser Ports zur Verschleierung kein geeignetes Mittel, da Angreifer mittels eines Portscans der 65.535 möglichen Ports mit geringem Aufwand diese Verschiebung feststellen können.

 

Was kann ich tun?

 

Um dieses Risiko so gering wie möglich zu halten, ist es ratsam, RDP-Dienste nicht direkt freizugeben und alternative Lösungen in Betracht zu ziehen. Erwägen Sie die Verwendung von einem Firewall mit VPN-Zugang, Microsoft Remote Desktop Gateway oder Azure Multi-Factor Authentication Server für einen sicheren Zugriff.

Legen Sie darüber hinaus Gruppenrichtlinien fest: Passen Sie die Einstellungen dahingehend an, dass Benutzer nach dem Trennen einer RDP-Sitzung sofort abgemeldet werden, um zu verhindern, dass Angreifer Sitzungen einfach „wieder aufnehmen“ können. Weiter sollte die Anzahl der fehlerhaften Logins auf z.B. fünf fehlgeschlagene Anmeldungen reduziert werden. Damit wird auch die Angriffsfläche mittels Brute-Forcing reduziert.

Bleiben Sie stets wachsam: Mit der zunehmenden Verbreitung von Homeoffice/ Fernarbeit ist es wichtig, die mit RDP verbundenen Risiken zu verstehen und die gebotene Angriffsfläche zu minimieren. Die Implementierung von Präventionsstrategien und das Wissen, wo regelmäßig Informationen über neue Bedrohungen gelistet werden (z.B. BSI oder CERT Bund, sind wichtige Bausteine zum Schutz Ihrer IT-Systeme.

16.05.2024

The dangers of the Remote Desktop Protocol: Tips for securing it

Cyber security | IT protection | Attack vectors

The Remote Desktop Protocol (RDP) is undoubtedly an invaluable tool for modern IT infrastructure. It allows users to connect to and control remote computers via the network. This feature is particularly popular in companies for IT administration, whether for support or remote maintenance of systems.

However, while RDP can undoubtedly increase productivity, it also poses significant risks, especially if it is not properly secured and is openly accessible on the internet.

Read on to find out how you can eliminate potential threats and use RDP securely.

Potential dangers of the Remote Desktop Protocol

The Remote Desktop Protocol (RDP) is a valuable tool that allows users to connect to and control a remote computer via a network connection. This feature is particularly popular with IT administrators in companies when employees need IT support, for example.

While RDP can significantly increase productivity in your company, it can also expose your system to serious risks if you leave it open to the internet without adequate security measures.

What is RDP hijacking?

RDP hijacking occurs when unauthorised persons gain access to your RDP-enabled system. Cybercriminals often exploit vulnerabilities in open RDP configurations to launch attacks. This can lead to unauthorised access, data breaches and potential system compromise. The consequences can be severe, ranging from the disclosure or leakage of sensitive data to the complete loss of control over your system or the encryption of a company-wide infrastructure with a ransomware Trojan.

Based on our experience, we always advise our customers not to expose services to the Internet without additional security measures. This means that you should not connect the RDP service directly to the Internet, as such services always pose security risks. What we have learned from past cases is that attackers were able to take over such exposed services (without additional protection, such as a firewall or VPN) quite quickly using brute force attacks (trying out lists of user and password combinations) and thus gain access to entire company infrastructures within a few hours.

Attackers target the service’s standard ports (port 3389) that are open to the Internet in order to gain access to networks. Unfortunately, changing these ports to conceal them is not a suitable measure, as attackers can easily detect this change by scanning the 65,535 possible ports.

What can I do?

To minimise this risk, it is advisable not to enable RDP services directly and to consider alternative solutions. Consider using a firewall with VPN access, Microsoft Remote Desktop Gateway or Azure Multi-Factor Authentication Server for secure access.

In addition, set group policies: Adjust the settings so that users are immediately logged out after disconnecting from an RDP session to prevent attackers from simply ‘resuming’ sessions. Furthermore, the number of failed logins should be reduced to, for example, five. This also reduces the attack surface through brute force attacks.

Stay vigilant: With the increasing prevalence of home offices and remote working, it is important to understand the risks associated with RDP and minimise the attack surface. Implementing prevention strategies and knowing where to find regular information about new threats (e.g. BSI or CERT Bund) are important building blocks for protecting your IT systems.