{"id":210060,"date":"2018-10-01T00:14:00","date_gmt":"2018-09-30T22:14:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=210060"},"modified":"2020-01-14T23:03:54","modified_gmt":"2020-01-14T22:03:54","slug":"fbi-warnt-vor-per-internet-erreichbaren-rdp-zugngen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/10\/01\/fbi-warnt-vor-per-internet-erreichbaren-rdp-zugngen\/","title":{"rendered":"FBI warnt vor per Internet erreichbaren RDP-Zug&auml;ngen"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" align=\"left\" height=\"47\"\/>Das amerikanische FBI warnt \u00fcber sein Internet Crime Complaint Center (IC3) vor den Gefahren von Angriffen per Internet auf Computer mittels RDP-Verbindungen. In den letzten Jahren konnte eine steigende Anzahl an Angriffen beobachtet werden.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/vg04.met.vgwort.de\/na\/b7a7ad23a34346539080aa1f5c887e8b\" width=\"1\" height=\"1\"\/>Ich wurde vor einigen Tagen per Twitter auf die Warnung des FBI bzw. das Thema aufmerksam gemacht.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p lang=\"en\" dir=\"ltr\">HEY FOLKS, FBI WANTS TO TALK ABOUT REMOTING INTO <a href=\"https:\/\/twitter.com\/Windows?ref_src=twsrc%5Etfw\">@Windows<\/a> PC's:<\/p>\n<p>Thank You: <a href=\"https:\/\/twitter.com\/SBSDiva?ref_src=twsrc%5Etfw\">@SBSDiva<\/a><\/p>\n<p>ICYMI: <a href=\"https:\/\/twitter.com\/woodyleonhard?ref_src=twsrc%5Etfw\">@woodyleonhard<\/a> <a href=\"https:\/\/twitter.com\/AdminKirsty?ref_src=twsrc%5Etfw\">@AdminKirsty<\/a> <a href=\"https:\/\/twitter.com\/thurrott?ref_src=twsrc%5Etfw\">@thurrott<\/a> <a href=\"https:\/\/twitter.com\/maryjofoley?ref_src=twsrc%5Etfw\">@maryjofoley<\/a> <a href=\"https:\/\/twitter.com\/bdsams?ref_src=twsrc%5Etfw\">@bdsams<\/a> <a href=\"https:\/\/twitter.com\/mehedih_?ref_src=twsrc%5Etfw\">@mehedih_<\/a> <a href=\"https:\/\/twitter.com\/ruthm?ref_src=twsrc%5Etfw\">@ruthm<\/a> <a href=\"https:\/\/twitter.com\/etguenni?ref_src=twsrc%5Etfw\">@etguenni<\/a> <a href=\"https:\/\/twitter.com\/SwiftOnSecurity?ref_src=twsrc%5Etfw\">@SwiftOnSecurity<\/a> <a href=\"https:\/\/twitter.com\/pcper?ref_src=twsrc%5Etfw\">@pcper<\/a> <a href=\"https:\/\/twitter.com\/MalwareJake?ref_src=twsrc%5Etfw\">@MalwareJake<\/a> @GossiTheDog <a href=\"https:\/\/twitter.com\/ryanshrout?ref_src=twsrc%5Etfw\">@ryanshrout<\/a> <a href=\"https:\/\/twitter.com\/JobCacka?ref_src=twsrc%5Etfw\">@JobCacka<\/a><a href=\"https:\/\/t.co\/zhHb1eL6ow\">https:\/\/t.co\/zhHb1eL6ow<\/a><\/p>\n<p>\u2014 Crysta T. Lacey (@PhantomofMobile) <a href=\"https:\/\/twitter.com\/PhantomofMobile\/status\/1045719265649676288?ref_src=twsrc%5Etfw\">28. September 2018<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script> <\/p>\n<h2>Was ist RDP?<\/h2>\n<\/p>\n<p>Das Remote Desktop Protocol (RDP) ist ein propriet\u00e4res Netzwerkprotokoll von Microsoft. RDP erm\u00f6glicht es einer Person, die Ressourcen und Daten eines Computers \u00fcber das Internet zu steuern. Dieses Protokoll erm\u00f6glicht die vollst\u00e4ndige Kontrolle \u00fcber den Desktop einer entfernten Maschine, indem es Eingaben wie Mausbewegungen und Tastenanschl\u00e4ge \u00fcbertr\u00e4gt und eine grafische Benutzeroberfl\u00e4che zur\u00fcckschickt. <\/p>\n<p>Damit eine Remote-Desktopverbindung hergestellt werden kann, m\u00fcssen sich die lokalen und entfernten Computer \u00fcber einen Benutzernamen und ein Passwort authentifizieren. Cyber-Akteure k\u00f6nnen die Verbindung zwischen den Maschinen infiltrieren und Malware oder Ransomware in das entfernte System injizieren. Angriffe mit dem RDP-Protokoll erfordern keine Benutzereingaben, so dass Einbr\u00fcche schwer zu erkennen sind.<\/p>\n<h2>Angriffe steigen <\/h2>\n<p>In einer \u00f6ffentlichen Warnung von FBI und Homeland Security schreibt das IC3: Remote-Administrationswerkzeuge, wie das Remote Desktop Protocol (RDP), als Angriffsvektor, sind seit Mitte 2016 im Aufschwung begriffen, speziell seit RDP-Zugangsdaten im Darknet angeboten werden. Cyber-Kriminelle haben Methoden entwickelt, um gef\u00e4hrdete RDP-Sitzungen \u00fcber das Internet zu identifizieren und zu nutzen. Damit werden Identit\u00e4ten gef\u00e4hrdet, Anmeldeinformationen gestohlen und andere sensible Informationen abgezogen. <\/p>\n<p>Das Federal Bureau of Investigation (FBI) und das Department of Homeland Security (DHS) empfehlen Unternehmen und Privatpersonen, zu \u00fcberpr\u00fcfen, welche Fernzugriffe ihre Netzwerke erlauben und was damit m\u00f6glich ist. Anschlie\u00dfend sind Ma\u00dfnahmen zu ergreifen, um die Wahrscheinlichkeit der Kompromittierung zu senken. Dazu geh\u00f6rt auch die Deaktivierung von RDP-Zug\u00e4ngen auf Rechnern, wenn diese nicht ben\u00f6tigt werden.<\/p>\n<h2>H\u00e4ufige Schwachpunkte bei RDP<\/h2>\n<p>Im Dokument werden verschiedene Schwachpunkte genannt, die bei RDP-Zug\u00e4ngen immer wieder auffallen.<\/p>\n<ul>\n<li>Schwache Passw\u00f6rter \u2013 z.B. Passw\u00f6rter, die Begriffe aus dem W\u00f6rterbuch verwenden oder keine Mischung aus Gro\u00df-\/Kleinschreibung, Zahlen und Sonderzeichen enthalten &#8211; sind anf\u00e4llig f\u00fcr Brute-Force-Angriffe und W\u00f6rterbuchangriffe.  <\/li>\n<li>Veraltete RDP-Versionen k\u00f6nnen einen fehlerhaften Verschl\u00fcsselungsmechanismus (CredSSP), verwenden, was einen m\u00f6glichen Man-in-the-Middle-Angriff erm\u00f6glicht. Hier hatte Microsoft in den letzten Monaten Sicherheitsupdates ver\u00f6ffentlicht.  <\/li>\n<li>Erm\u00f6glicht uneingeschr\u00e4nkten Zugriff auf den Standard-RDP-Port (TCP 3389), oder es sind eine unbegrenzte Anmeldeversuche bei einem Benutzerkonto m\u00f6glich.<\/li>\n<\/ul>\n<p>Solche Schwachstellen sollten im Sinne der Sicherheit unbedingt beseitigt werden. Das IC3 f\u00fchrt in seinem Report diverse Beispiele f\u00fcr Bedrohungen durch Ransomware an. <\/p>\n<h2>Empfehlungen f\u00fcr den Schutz<\/h2>\n<p>Der Einsatz von RDP birgt Risiken, da es erm\u00f6glicht, ein System vollst\u00e4ndig fernzusteuern. Daher sollte die RDP-Nutzung eng geregelt, \u00fcberwacht und kontrolliert werden. Das FBI und das DHS empfehlen die Implementierung der folgenden Best Practices zum Schutz vor RDP-basierten Angriffen:<\/p>\n<ul>\n<li>\u00dcberpr\u00fcfen Sie Ihr Netzwerk auf Systeme, die RDP f\u00fcr die Fernkommunikation verwenden. Deaktivieren Sie den Dienst, wenn Sie ihn nicht ben\u00f6tigen, oder installieren Sie verf\u00fcgbare Patches.  <\/li>\n<li>\u00dcberpr\u00fcfen Sie, ob alle Cloud-basierten Instanzen virtueller Maschinen mit einer \u00f6ffentlichen IP keine offenen RDP-Ports haben, insbesondere Port 3389, es sei denn, es liegt ein triftiger Gesch\u00e4ftsgrund vor.  <\/li>\n<li>Stellen Sie jedes System mit einem offenen RDP-Port hinter eine Firewall und verlangen Sie, dass Benutzer ein Virtual Private Network (VPN) verwenden, um \u00fcber die Firewall darauf zuzugreifen.  <\/li>\n<li>Aktivieren Sie sichere Passw\u00f6rter und Kontosperrrichtlinien, um sich gegen Brute-Force-Angriffe zu sch\u00fctzen.  <\/li>\n<li>Verwenden Sie m\u00f6glichst eine Zwei-Faktor-Authentifizierung und f\u00fchren Sie regelm\u00e4\u00dfige System- und Software-Updates durch. Etablieren Sie eine gute Backup-Strategie.  <\/li>\n<li>Aktivieren Sie die Protokollierung und stellen Sie sicher, dass die Protokollierungsmechanismen RDP-Logins erfassen. Bewahren Sie die Protokolle mindestens 90 Tage lang auf und \u00fcberpr\u00fcfen Sie sie regelm\u00e4\u00dfig, um Einbruchsversuche zu erkennen.  <\/li>\n<li>Halten Sie sich bei der Erstellung von Cloud-basierten virtuellen Maschinen an die Best Practices des Cloud-Anbieters f\u00fcr den Fernzugriff.  <\/li>\n<li>Stellen Sie sicher, dass Dritte, die einen RDP-Zugang ben\u00f6tigen, verpflichtet sind, interne Richtlinien f\u00fcr den Fernzugriff einzuhalten.  <\/li>\n<li>Minimieren Sie die Netzwerkbelastung f\u00fcr alle Ger\u00e4te des Steuerungssystems. Wenn m\u00f6glich, sollten kritische Ger\u00e4te nicht RDP-f\u00e4hig sein.<\/li>\n<\/ul>\n<p>Regulieren und begrenzen Sie externe zu internen RDP-Verbindungen. Wenn ein externer Zugriff auf interne Ressourcen erforderlich ist, verwenden Sie sichere Methoden, wie z. B. VPNs, wobei erkannt wird, dass VPNs nur so sicher sind wie die angeschlossenen Ger\u00e4te.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Das amerikanische FBI warnt \u00fcber sein Internet Crime Complaint Center (IC3) vor den Gefahren von Angriffen per Internet auf Computer mittels RDP-Verbindungen. In den letzten Jahren konnte eine steigende Anzahl an Angriffen beobachtet werden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-210060","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/210060","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=210060"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/210060\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=210060"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=210060"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=210060"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}