ADMIN

2024

10

2024-09-29T12:00:00

Identitäts- und Datenschutz

PRAXIS

036

Sicherheit

Remote-Desktop-Tools

Angriffe auf Remote-Desktop-Tools

Feindliche Übernahme

von Jonathan Tanner

Veröffentlicht in Ausgabe 10/2024 - PRAXIS

Remote-Desktop-Software ermöglicht es Nutzern, sich ohne physischen Zugang zu einem Host-Gerät mit einem Netzwerk zu verbinden – nützlich für verteilt arbeitende Teams, aber auch ein bevorzugtes Ziel für Cyberangriffe. Der Fachbeitrag zeigt die am häufigsten angegriffenen Remote-Desktop-Tools, die zugehörigen Ports und die Methoden, mit denen sich Angreifer Zugang zu ihnen verschaffen können.

Zu den Herausforderungen, mit denen IT-Sicherheitsverantwortliche bei der Implementierung von Remote-Desktop-Software konfrontiert sind, zählt unter anderem, dass es in diesem Bereich viele verschiedene Tools gibt mit jeweils unterschiedlichen und in manchen Fällen sogar mehreren genutzten Ports. Die Verwendung mehrerer Ports kann es für IT-Sicherheitsverantwortliche schwieriger machen, bösartige Kontaktversuche und unerlaubtes Eindringen in das Netzwerk zu bemerken und zu identifizieren.
Die einfachste und am weitesten verbreitete Strategie, die Angreifer gegen Remote-Desktop-Software nutzen, ist die missbräuchliche Verwendung von schwachen, bereits benutzten oder gefälschten Zugangsdaten. Diese bieten einem Angreifer sofortigen Zugriff auf die Systeme, für die auch ein legitimer Nutzer berechtigt ist. Software-Exploits und Betrugsversuche über den technischen Support sind weitere potenzielle Schwachstellen für Remote-Desktop-Software.
Wie von Barracuda erhobene Daten ergeben, sind die drei in den vergangenen zwölf Monaten am häufigsten von Angreifern ins Visier genommenen Remote-Desktop-Tools Virtual Network Computing (VNC, Ports 5800+ und 5900+), Remote Desktop Protocol (RDP, Port 3389) und TeamViewer (Port 5938). Im Folgenden schauen wir uns die Angriffswege genauer an.
Zu den Herausforderungen, mit denen IT-Sicherheitsverantwortliche bei der Implementierung von Remote-Desktop-Software konfrontiert sind, zählt unter anderem, dass es in diesem Bereich viele verschiedene Tools gibt mit jeweils unterschiedlichen und in manchen Fällen sogar mehreren genutzten Ports. Die Verwendung mehrerer Ports kann es für IT-Sicherheitsverantwortliche schwieriger machen, bösartige Kontaktversuche und unerlaubtes Eindringen in das Netzwerk zu bemerken und zu identifizieren.
Die einfachste und am weitesten verbreitete Strategie, die Angreifer gegen Remote-Desktop-Software nutzen, ist die missbräuchliche Verwendung von schwachen, bereits benutzten oder gefälschten Zugangsdaten. Diese bieten einem Angreifer sofortigen Zugriff auf die Systeme, für die auch ein legitimer Nutzer berechtigt ist. Software-Exploits und Betrugsversuche über den technischen Support sind weitere potenzielle Schwachstellen für Remote-Desktop-Software.
Wie von Barracuda erhobene Daten ergeben, sind die drei in den vergangenen zwölf Monaten am häufigsten von Angreifern ins Visier genommenen Remote-Desktop-Tools Virtual Network Computing (VNC, Ports 5800+ und 5900+), Remote Desktop Protocol (RDP, Port 3389) und TeamViewer (Port 5938). Im Folgenden schauen wir uns die Angriffswege genauer an.
VNC mit alten Lücken
VNC ist ein weit verbreitetes, plattformunabhängiges Remote-Desktop-Tool auf Basis des RFB-Protokolls. Es ermöglicht Nutzern, sich unabhängig vom verwendeten Betriebssystem mit Servern zu verbinden. Unter anderem nutzt beispielsweise Apple VNC als Basissoftware für Remote-Desktop- und Screen-Sharing-Produkte. Zudem kommt VNC häufig im Bereich kritische Infrastruktur zum Einsatz, beispielsweise von Versorgungsunternehmen, die ein immer beliebteres Ziel für Cyberangriffe darstellen.
Wie die Barracuda-Daten zeigen, war VNC im vergangenen Jahr das bei Weitem am häufigsten angegriffene Remote-Desktop-Tool, das 98 Prozent des Traffics über alle Remote-Desktop-spezifischen Ports ausmachte. Mehr als 99 Prozent dieser Angriffsversuche zielten auf HTTP-Ports ab. Dies lässt sich wahrscheinlich darauf zurückführen, dass das HTTP-Protokoll für den Zugriff auf Websites keine spezielle Authentifizierung erfordert.
Bei den meisten Angriffen auf VNC versuchten die Cyberkriminellen, mittels Brute-Force-Methoden schwache oder bereits verwendete Passwörter zu knacken. Die Schwachstelle, auf die Angreifer am häufigsten abzielten, war CVE-2006-2369, die es ermöglicht, im inzwischen 18 Jahre alten RealVNC 4.1.1 die Authentifizierung zu umgehen. Da viele Kriminelle Proxy-Server oder VPNs nutzen, um ihren geografischen Standort zu verschleiern, ist es schwierig, zu identifizieren, von wo die Angriffe ausgehen. 60 Prozent des bösartigen Traffics, der auf VNC abzielt, scheint jedoch aus China zu stammen.
VNC umfasst mehrere Softwareangebote, die sich hinsichtlich ihrer Eigenschaften und Funktionen leicht unterscheiden. Einige haben ein achtstelliges Limit für Passwörter, das es signifikant einfacher für Angreifer macht, das Passwort zu knacken. Standardmäßig erfolgt keine Verschlüsselung des VNC-Traffics, aber einige Werkzeuge nutzen Secure Shell (SSH) oder VPN-Tunneling zur Codierung des Datenverkehrs – diese Technologien bieten ein höheres Level an Sicherheit.
VNC verfügt über eine Reihe von Ports, die sich für das Tool verwenden lassen. Die Basisports sind 5800 für TCP-Verbindungen und 5900 für HTTP-Verbindungen. Die Display-Nummer (in der Spezifikation als N bezeichnet) wird stets zum Basisport hinzugefügt, um eine Verbindung mit verschiedenen Displays zu ermöglichen. Das physische Display ist dabei 0, was den Basisports entspricht, aber Verbindungen und Angriffe können auch höhere Portnummern nutzen. Aus Sicherheitsperspektive sorgt dies für ein zusätzliches Level an Komplexität, da es nicht wie bei anderen Remote-Desktop-Tools lediglich ein oder zwei streng definierte Ports gibt, die es zu überwachen gilt.
RDP bei Großangriffen im Visier
RDP ist ein oft verwendetes, proprietäres Protokoll, das Microsoft für die Nutzung von Remote-Desktops entwickelt hat. Etwa 1,6 Prozent der von Barracuda identifizierten Attacken auf Remote-Desktop-Software zielten auf RDP ab. Größere Angriffe auf Netzwerke und Daten nutzen tendenziell eher RDP als VNC. Laut Barracuda-Daten stammen die meisten Angriffsversuche auf RDP aus Nordamerika (rund 42 Prozent), gefolgt von China und Indien. Auch hier gilt, dass die Nutzung von Proxy-Servern oder VPNs den tatsächlichen Standort der Kriminellen verschleiern kann.
RDP-Angriffe kommen häufig zur Verbreitung von Malware zum Einsatz, meist Ransomware oder Krypto-Miner, oder um anfällige Rechner im Rahmen von DDoS-Angriffen auszunutzen. Bei etwa einem von sechs (15 Prozent) der identifizierten Angriffsversuche wurde ein veraltetes Cookie ausgenutzt. Dies könnte eine bewusste Taktik der Cyberkriminellen darstellen, um ältere und damit wahrscheinlich anfälligere Versionen der RDP-Software für weitere Angriffe zu identifizieren.
Wie bei anderen Angriffen auf Remote-Desktop-Dienste sind auch RDP-Attacken hauptsächlich durch die Ausnutzung von Zugangsdaten möglich. Jedoch wurden in den vergangenen Jahren einige schwerwiegende Sicherheitslücken bekannt, die eine Remote Code Execution (RCE) in den Zielsystemen erlauben. Dazu zählt die Sicherheitslücke CVE-2018-0886, die auf den Credential-Security-Support-Provider (CredSSP) abzielt, der für die RDP-Authentifizierung Verwendung findet. Auch die Schwachstelle CVE-2019-0887, bekannt als BlueKeep, die potenziell in einen Wurm verwandelt werden kann, zählt zu diesen schwerwiegenden Sicherheitslücken, Außerdem ist da noch die Schwachstelle CVE-2019-0887, die Cyberkriminellen die Möglichkeit bietet, virtuelle Hyper-V-Instanzen zu umgehen, um Zugriff auf einen Hypervisor zu erhalten.
Cybergangster können RDP-Angriffe darüber hinaus nutzen, um Passwort-Hashes für privilegierte Nutzerkonten zu erhalten. Dies kann als Teil einer Attacke auf ein System mit aktiviertem RDP-Server erfolgen oder um Rechte auf Angreifer auszuweiten, indem sie RDP auf einem System aktivieren, das zuvor bereits kompromittiert wurde. Trotz dieser potenziell risikoreichen RCE-Schwachstellen handelte es sich bei den meisten identifizierten RDP-Angriffsversuchen um Denial-of-Service-Schwachstellen, die neun Prozent des beobachteten Traffics ausmachten.
RDP spielt auch bei Vishing-Attacken (Phishing per Telefon oder Sprachnachricht) von vermeintlichen Microsoft-Supportern eine Rolle. Diese zielen darauf ab, Nutzern vorzutäuschen, dass ihr Gerät technische Probleme hat, die der Angreifer beheben kann, wenn der Nutzer den RDP-Zugang aktiviert und dem Kriminellen Zugriff gewährt. Zudem existiert ein Schwarzmarkt für anfällige oder bereits geknackte RDP-Instanzen, die andere Hacker nach Belieben nutzen können und die oft für mehrere Dollar pro Instanz gehandelt werden.
TeamViewer nur gering betroffen
Angriffe auf TeamViewer machten 0,1 Prozent des bösartigen Traffics über alle von Barracuda überwachten Remote-Desktop-Ports aus. Die identifizierten Angriffe zielten über die Log4Shell-Schwachstelle auf das Frontline Command Center ab, den zentralen Management-Hub des Werkzeugs.
Für Unternehmen bietet TeamViewer zusätzliche Sicherheitsfunktionen wie Device Fingerprinting, automatisch generierte Zugangsdaten, exponentielles Backoff für falsche Zugangsdaten (die Wartezeit bei jeder Verwendung falscher Zugangsdaten erhöht sich exponentiell, was vor Brute-Force-Angriffen schützt) sowie Multifaktor-Authentifizierung. Zudem wird zur weiteren Steigerung der Sicherheit der gesamte Traffic zwischen dem TeamViewer-Client und dem Server verschlüsselt.
Trotz dieser Maßnahmen wird TeamViewer teilweise immer noch für Attacken genutzt, oftmals aufgrund von Phishing oder der unsicheren Weitergabe von Zugangsdaten. Zudem kommt TeamViewer für Betrugsversuche im technischen Support zum Einsatz. Zusätzlich zum Port 5938 lassen sich die Ports 80 und 443 bei TeamViewer-Attacken missbrauchen, was es für Sicherheitsverantwortliche noch einmal komplizierter macht, bösartige Verbindungsversuche zu identifizieren.
Fazit
Remote-Desktop-Tools stellen nützliche Tools für Unternehmen dar, die es ihren Mitarbeitern ermöglichen, remote zu arbeiten. Jedoch sind sie ebenfalls ein beliebtes Ziel für Angreifer und die Tatsache, dass so viele verschiedene von ihnen existieren, teilweise mit mehreren und unterschiedlichen Verbindungspunkten und Ports, macht es für Sicherheitsverantwortliche im Unternehmen noch schwieriger, Attacken auf sie rechtzeitig zu identifizieren.
Das Ziel von Unternehmen sollte es daher sein, eine einzige Remote-Desktop-Software als Standard zu etablieren, um die Verwaltung, Überwachung und den Schutz dieses Produkts so einfach und effizient wie möglich zu gestalten. Ergänzt werden sollte dies durch eine umfassende Sicherheitsplattform, die verdächtigen Port-Traffic erkennen kann.
Weitere essenzielle Schutzmaßnahmen sind robuste Sicherheitsrichtlinien, beispielsweise die Beschränkung von Remote-Zugriff auf die Mitarbeiter, die ihn tatsächlich benötigen, die Verwendung sicherer VPN-Verbindungen und regelmäßige Softwareupdates. Hinsichtlich Authentifizierungsmethoden sollten starke Passwörter der Mindeststandard sein, genauso wie Multifaktor-Authentifizierung, idealerweise im Rahmen eines Zero-Trust-Ansatzes.
(ln)
Jonathan Tanner ist Senior Security Researcher bei Barracuda Networks.