{"id":311191,"date":"2025-05-04T00:01:58","date_gmt":"2025-05-03T22:01:58","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=311191"},"modified":"2025-05-05T00:53:30","modified_gmt":"2025-05-04T22:53:30","slug":"windows-rdp-zugang-mit-alten-zugangsdaten-aus-dem-cache-moeglich","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/05\/04\/windows-rdp-zugang-mit-alten-zugangsdaten-aus-dem-cache-moeglich\/","title":{"rendered":"Windows: RDP-Zugang mit alten Zugangsdaten aus dem Cache m\u00f6glich"},"content":{"rendered":"<p><img decoding=\"async\" style=\"margin: 0px 10px 0px 0px; display: inline; float: left;\" title=\"Windows\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Windows-klein.jpg\" alt=\"Windows\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2025\/05\/05\/windows-rdp-access-possible-with-old-cached-credentials\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Die Tage wurde bekannt, dass Remote Desktop-Verbindungen (RDP-Zug\u00e4nge) auch alte, widerrufene Passw\u00f6rter aus dem Cache f\u00fcr Verbindungen verwenden k\u00f6nnen. Das wird von einigen Leuten als Sicherheitsrisiko betrachtet. Microsoft will aber nichts an dieser Situation \u00e4ndern.<br \/>\n<!--more--><br \/>\n<img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg05.met.vgwort.de\/na\/c291e6d4fb4645c4a65ec6e6c20bce69\" alt=\"\" width=\"1\" height=\"1\" \/>Ein Blog-Leser wies hier im Blog im Diskussionsbereich darauf hin (danke daf\u00fcr), dass RDP lokal alte Passw\u00f6rter verschl\u00fcsselt in einem Cache sich merkt. Dadurch k\u00f6nnen unter bestimmten Umst\u00e4nden RDP-Anmeldungen mit einem alten, nicht mehr aktuellen Passwort (weil diese in der Cloud ge\u00e4ndert wurde) unter Windows erfolgen.<\/p>\n<p>Der Blog-Leser hat im Diskussionsbereich <a href=\"https:\/\/www.heise.de\/news\/Windows-Log-in-ueber-RDP-mit-widerrufenen-Passwoerten-moeglich-10370025.html\" target=\"_blank\" rel=\"noopener\">diesen heise-Beitrag<\/a> erw\u00e4hnt.\u00a0Ich hatte es auch auf diversen Webseiten, z.B. bei <a href=\"https:\/\/www.golem.de\/news\/kein-fix-geplant-windows-akzeptiert-bei-rdp-verbindungen-alte-passwoerter-2505-195856.html\" target=\"_blank\" rel=\"noopener\">Golem<\/a> gesehen. Dan Gookin hat es auf Arstechnica im Beitrag <a href=\"https:\/\/arstechnica.com\/security\/2025\/04\/windows-rdp-lets-you-log-in-using-revoked-passwords-microsoft-is-ok-with-that\/\" target=\"_blank\" rel=\"noopener\">Windows RDP lets you log in using revoked passwords. Microsoft is OK with that<\/a> als erster aufgegriffen.<\/p>\n<h2>Windows RDP-Verbindungen<\/h2>\n<p>In Windows ist das propriet\u00e4re Remote Desktop Protocol (RDP) implementiert, um RDP-Verbindungen zu unterst\u00fctzen. Hat sich der Benutzer per Remote Desktop Protocol (RDP) auf einem Computer eingew\u00e4hlt, kann er den betreffenden Rechner remote steuern.<\/p>\n<h2>RDP-Verbindungen nutzen gecachte Anmeldedaten<\/h2>\n<p>Sicherheitsforscher Daniel Wade ist nun aufgefallen, dass das die RDP-Verbindungen die Zugangsdaten f\u00fcr Microsoft-Konten aus einen Cache nutzen. Das hei\u00dft, dass ge\u00e4nderte und dadurch als ung\u00fcltig zur\u00fcckgerufene Passw\u00f6rter weiterhin g\u00fcltig bleiben.<\/p>\n<p>Das Szenario, sich mit einem widerrufenen Kennwort \u00fcber RDP anzumelden, tritt bei Windows-Rechnern auf, die mit einem Microsoft- oder Azure-Konto angemeldet und so konfiguriert sind, dass der Remote-Desktop-Zugriff aktiviert ist. In diesem Fall k\u00f6nnen sich Benutzer \u00fcber RDP mit einem dedizierten Kennwort anmelden, das anhand eines lokal gespeicherten Berechtigungsnachweises validiert wird. Alternativ k\u00f6nnen sich die Benutzer mit den Anmeldeinformationen f\u00fcr das Online-Konto anmelden, das f\u00fcr die Anmeldung auf dem Computer verwendet wurde.<\/p>\n<h2>Microsoft will nichts \u00e4ndern<\/h2>\n<p>Wade gibt an, dass durch diesen Mechanismus auch eine Anmeldung mit alten Passw\u00f6rtern (sogar von neuen Rechnern) m\u00f6glich ist und sieht dies als \"Vertrauensbruch\". Denn was tut man, wenn der Verdacht besteht, dass ein Konto Passwort kompromittiert sein k\u00f6nnte? Man \u00e4ndert das Passwort, um den Zugang zu \u00e4ndern, was durch das Caching aber nicht funktioniert &#8211; die alten Zugangsdaten funktionieren weiterhin.<\/p>\n<p>Es sieht so aus, dass der Endnutzer das Problem nicht erkennen kann, es wurde von Microsoft auch nicht auf das Problem hingewiesen &#8211; erst nach dem Hinweis des Sicherheitsforschers hat Redmond <a href=\"https:\/\/learn.microsoft.com\/en-us\/windows-server\/security\/windows-authentication\/windows-logon-scenarios\" target=\"_blank\" rel=\"noopener\">hier<\/a> einen Hinweis nachgetragen. Daniel Wade meldete das Verhalten Anfang April 2025 an das Microsoft Security Response Center.<\/p>\n<p>Microsofts R\u00fcckmeldung war, dass es sich bei diesem Verhalten um eine Design-Entscheidung handelt. Diese soll sicherstellen, dass mindestens ein Benutzerkonto immer die M\u00f6glichkeit habe, sich anzumelden, und das unabh\u00e4ngig davon, wie lange ein System offline war. F\u00fcr Microsoft entspricht das Verhalten nicht der Definition einer Sicherheitsl\u00fccke. Das Unternehmen hat daher keine Pl\u00e4ne, das Verhalten zu \u00e4ndern.<\/p>\n<p>Microsoft teilte Wade mit, dass er nicht der Erste sei, der das \"Problem\" berichtete. Bereits 2023 habe ein Sicherheitsforscher auf den Sachverhalt hingewiesen. Die Aussage Microsofts war: \"Urspr\u00fcnglich haben wir eine Code\u00e4nderung f\u00fcr dieses Problem in Betracht gezogen, aber nach einer weiteren \u00dcberpr\u00fcfung der Designdokumentation k\u00f6nnten Code\u00e4nderungen die Kompatibilit\u00e4t mit Funktionen, die von vielen Anwendungen genutzt werden, beeintr\u00e4chtigen.\"<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Die Tage wurde bekannt, dass Remote Desktop-Verbindungen (RDP-Zug\u00e4nge) auch alte, widerrufene Passw\u00f6rter aus dem Cache f\u00fcr Verbindungen verwenden k\u00f6nnen. Das wird von einigen Leuten als Sicherheitsrisiko betrachtet. Microsoft will aber nichts an dieser Situation \u00e4ndern.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301,2557],"tags":[3205,4328,3288],"class_list":["post-311191","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","category-windows-server","tag-rdp","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311191","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=311191"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311191\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=311191"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=311191"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=311191"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}