RDP-Hijacking für RDS und RemoteApp

Publiziert am 23. September 2018 von Günter Born

Nur ein kurzer Infosplitter mit einem Hinweis auf ein potentielles Problem. Die Remote Desktop Services können mit lokalen Administratorrechten verwendet werden, um sich per RDP-Hijacking durch ein Netzwerk zu bewegen.

Anzeige

Man kann dann auf Sitzungen anderer Benutzersitzungen zugreifen, ohne deren Passwort zu kennen. Dann lassen sich einige Dinge tun, auch wenn der betreffende Benutzer längst abgemeldet ist. Es lässt sich z.B. auf deren Online-Sitzungen zugreifen. Kevin Beaumon hat da kürzlich per Twitter darauf hingewiesen.

Details zu diesem Thema und zu Abwehrmaßnahmen finden sich in diesem doublepulsar-Beitrag.

Anzeige
Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu RDP-Hijacking für RDS und RemoteApp

  1. Windoof-User sagt:
    23. September 2018 um 04:13 Uhr

    Ein Problem wäre es, wenn ein Systemadminstrator nicht auf Benutzersitzungen zugreifen könnte.

    Antworten
  2. Bernhard Diener sagt:
    24. September 2018 um 10:38 Uhr

    Das ist in der beschriebenen Weise (Systemkonto, tscon…) auf Windows 10 v1803 nicht möglich. Die Sitzung wird zwar übernommen, aber man kommt nur auf die Anmeldemaske.
    Bitte nachstellen.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.