G 5.132 Kompromittierung einer RDP-Benutzersitzung unter Windows Server 2003
Die Remotedesktop-Freigabe auf Basis des Remote Desktop Protocol (RDP) ist ein effektives und verbreitetes Mittel zur Fernwartung eines Windows-Servers und zur Nutzung von Programmen auf entfernten Computern (Remotedesktop). Der Verbindungsaufbau von einem Clientcomputer zum RDP-Server findet ohne vorherige Authentisierung des Benutzers statt. Der komplette Anmeldebildschirm des Remotedesktops wird unmittelbar auf den Bildschirm des lokalen Clients gespiegelt. Es besteht die Gefahr, dass auch ein Angreifer durch die Windows-RDP-Anmeldung einen Remote-Zugriff auf das System erlangt.
Informationen zur Betriebssystemversion und zur Domänenmitgliedschaft liegen für jeden Remotedesktop-Benutzer ohne Eingabe von Benutzernamen und Kennwort offen. Weitere Informationen könnten über Hintergrundbilder preisgegeben werden. Häufig blenden Administratoren Verwaltungs-informationen als Hintergrundbild ein oder der Serverhersteller hat bei seinen vorinstallierten Betriebsystemen ein herstellerspezifisches Hintergrundbild vorgegeben. Darüber können verwertbare Informationen erlangt werden, um das System zu analysieren und entsprechende Sicherheitslücken auszunutzen.
Im Falle einer Unterbrechung der Netzverbindung während einer RDP-Sitzung stellt Windows Server 2003 die Sitzung automatisch ohne erneute Anmeldung wieder her, sobald der Client die Netzverbindung zum Server wieder aufgenommen hat. Zeiträume bis in den Minutenbereich können überbrückt werden. Die erhöhte Fehlertoleranz wird mit der Gefährdung der Integrität einer RDP-Sitzung erkauft. Ein Angreifer kann durch Social Engineerung oder durch Abfangen der Verbindung einen Remote-Zugriff auf das System bekommen. Eine Verbindung mit RDP Version 5.2 von Windows Server 2003 kann durch Dritte leicht abgefangen und unbemerkt umgeleitet werden. Seit Windows Server 2003 mit Service Pack 1 gibt es zwar die Absicherung mittels SSL, aber viele Clients können dann keine Verbindung mehr herstellen, z. B. Remotedesktop-Clients früherer Windows-Versionen und RDesktop für Unix/Linux. Daher kann die Absicherung mit SSL meist nicht flächendeckend eingesetzt werden und die Gefahr des Abfangens der Verbindung und des Erlangens von unerlaubtem Zugriff auf das System besteht weiterhin.
Aufgrund der beschriebenen Gefahren ist von einer erhöhten Gefährdung des Servers auszugehen, sobald RDP verwendet wird.
Beispiele:
- Ein amerikanischer Hersteller liefert Server mit vorinstallierten OEM-Versionen von Windows Server 2003 an seine Kunden aus. Beim Anmelden am Betriebssystem via Konsole oder Remotedesktop erscheint ein Hintergrundbild mit Logo des Herstellers und einem Foto der Server-Hardware. Dadurch können Schwachstellen über das System ermittelt werden und für Angriffe genutzt werden.
- Während einer Netzunterbrechung verlässt der Administrator kurz den Verwaltungs-PC, auf dem eine RDP-Sitzung läuft. Ist er nicht rechtzeitig wieder vor Ort und ist kein Bildschirmschoner mit Kennwortschutz aktiv, könnte ein Dritter die RDP-Sitzung weiterverwenden, sobald die Netzunterbrechung beseitigt worden ist. Er hätte die vollen Berechtigungen des Administrators und könnte versehentlich oder vorsätzlich großen Schaden verursachen.