Sicherheitslücken im Remote Desktop Protocol

RDP ist für alle Unternehmen ein Sicherheitsrisiko

| Redakteur: Peter Schmitz

Es ist wichtig, dass Sicherheitsteams verstehen, wie RDP von Angreifern verwendet wird um in Systeme einzudringen.
Es ist wichtig, dass Sicherheitsteams verstehen, wie RDP von Angreifern verwendet wird um in Systeme einzudringen. (Bild: gemeinfrei / Pixabay)

Das Remote Desktop Protocol (RDP) schafft bei 90 Prozent aller Unternehmen eine extrem riskante Angriffsfläche im Unter­nehmens­netzwerk. Aufgrund der sehr häufigen Verwendung des Remote-Access-Protokolls dürfte das Problem nach Ansicht der Security-Experten von Vectra in naher Zukunft bestehen bleiben.

Cyberangreifer folgen typischerweise dem Weg des geringsten Widerstands, um ihre Ziele zu erreichen. Sie werden stets versuchen, bestehende Administrationstools zu nutzen, bevor sie neue schädliche Software einschleusen. Das Ziel der Angreifer ist es, interne Auskundschaftung durchzuführen, sich seitlich im Netzwerk vorzuarbeiten und schließlich Daten aus einem Netzwerk zu exfiltrieren.

RDP, das proprietäre Netzwerkprotokoll von Microsoft für den Fernzugriff auf Windows-Computer ist aufgrund seiner einfachen Implementierung bei IT-Systemadministratoren zur Verwaltung von Remote-Systemen sehr beliebt. RDP ist ein noch wichtigeres Tool für Managed Service Provider (MSPs) zur Verwaltung von Hunderten von Kundennetzwerken und -systemen, stellt aber gleichzeitig ein gewaltiges Sicherheitsrisiko dar. Laut dem Vectra 2019 Spotlight Report on RDP für den Zeitraum vom Januar bis Juni 2019 hat die Cognito Plattform 26.800 verdächtige RDP-Vorgänge in mehr als 350 Implementierungen erkannt. Daten von Vectra bestätigen, dass RDP nach wie vor eine sehr beliebte Technik für Cyberkriminelle ist, wobei 90 Prozent dieser Implementierungen Verhaltenserkennungen von RDP-Angreifern aufweisen.

Bei Produktions- und Finanzunternehmen liegt die höchste Rate an RDP-Erkennungen mit zehn bzw. acht Erkennungen pro 10.000 Workloads und Geräten vor. Die fünf am meisten risikobehafteten Branchen sind die Fertigungsindustrie, die Finanz- und Versicherungsbranche, der Einzelhandel, die öffentliche Verwaltung und das Gesundheitswesen. Die drei führenden Branchen – Fertigung, Finanz- und Versicherungsbranche sowie Einzelhandel – machen zusammen fast die Hälfte (49,8 Prozent) aller RDP-Erkennungen aus.

Innerhalb der Fertigungsindustrie wiesen mittelgroße Unternehmen die höchste Rate an RDP-Erkennungen mit einer Rate von 20 pro 10.000 Workloads oder Geräten auf, was 82 Prozent höher ist als im mittelständischen Einzelhandel, das nächsthöhere Branchensubsegment, und 100 Prozent höher als bei kleinen Finanz- und Versicherungsunternehmen. IT-Manager in Fertigungsunternehmen werden allerdings kaum auf die Nutzung von RDP verzichten wollen. Sie werden die massiven Kosten- und Zeiteinsparungen durch die zentrale Verwaltung, die durch RDP ermöglicht wird, dem erhöhten potenziellen, jedoch abstrakten Risiko eines Cyberangriffs vorziehen. So bietet der Einsatz von RDP einen erheblichen Geschäftswert, da es eine zentrale Verwaltung von geografisch verteilten Geschäftssystemen ermöglicht.

„Cyberkriminelle wissen, dass RDP ein sehr leicht zugängliches Administrationstool ist, das es ihnen ermöglicht, sich während eines Angriffs zu verstecken“, erklärte Chris Morales, Head of Security Analytics bei Vectra. „Es ist wichtig, dass die Sicherheitsteams verstehen, wie RDP von Angreifern verwendet wird, denn es wird auch in naher Zukunft eine Bedrohung darstellen.“

Während sie sich durch den Angriffslebenszyklus bewegen, führen Cyberkriminelle interne Auskundschaftungen durch und bewegen sich seitlich im fremden Netzwerk, um Systeme zu identifizieren und auf diejenigen zuzugreifen, die wertvolle Daten enthalten. Die Allgegenwart von RDP auf Windows-Systemen und seine häufige Verwendung durch Systemadministratoren machen RDP zum idealen Werkzeug für Angreifer, um bei der Ausführung ihrer Aktivitäten eine Erkennung zu vermeiden.

Der Spotlight Report 2019 zum RDP basiert auf der Analyse der Daten in der 2019 Black Hat Edition des Attacker Behavior Industry Report, der Verhaltensweisen und Trends in Netzwerken aus einer Stichprobe von mehr als 350 Opt-in-Vectra-Implementierungen von Januar bis Juni 2019 aufzeigt. Der Attacker Behavior Industry Report liefert statistische Daten über das Verhalten von Angreifern, die versuchen, sich in den bestehenden Netzwerkverkehr einzuschleichen und ihre schädlichen Aktionen zu verbergen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46220178 / Sicherheitslücken)