Am Samstag, 16. Februar 2019, 'De Standaard' berichtet über die Ermittlungen im Auftrag des (belgischen) Bundesjustizministeriums. Gemeinsam mit den USA und der Ukraine haben sie "xDedic" geschlossen, eine Website, die Logins und Passwörter von kompromittierten Servern auf der ganzen Welt verkauft. Bis 2016 war die Website öffentlich zugänglich. Als sie die Aufmerksamkeit verschiedener Strafverfolgungsbehörden auf sich zog, wurde sie ins Darknet verlagert.
Ergebnisse decken sich mit Awingu's eigener Forschung
Die strafrechtlichen Ermittlungen sind - leider - perfekt aufeinander abgestimmt mit einer von Awingu veröffentlichten Studie am 17. September 2018. In der Studie identifizierte Awingu 8803 belgische Unternehmen mit "ungeschützten RDP-Ports". Und genau das haben die Hacker hinter xDedic ausgenutzt, um Benutzer-Logins und Passwörter abzugreifen und von dort aus in das IT-Netzwerk des Unternehmens einzudringen und Server zu kompromittieren.
Diese kompromittierten Server wurden für Ransomware-Angriffe (bei denen Hacker den Eigentümern den Zugriff auf ihre Daten und Anwendungen verwehren, wenn sie kein Lösegeld zahlen), Kreditkartenbetrug oder als "Drehscheibe" für andere illegale Aktivitäten genutzt (z. B. um über den kompromittierten Server in andere Unternehmen einzudringen, ohne den Standort des Hackers preiszugeben).
Die kriminalpolizeiliche Untersuchung konnte nach eigenen Angaben Anmeldedaten für 230 bis 750 belgische Server finden, je nach Uhrzeit. "Man kann davon ausgehen, dass diese 230-750 Server zumindest teilweise eine Teilmenge der 8803 Unternehmen sind, die Awingu identifizieren konnte", sagt Arnaud Marière, CMO Awingu. "Und das ist nicht nur ein belgisches Problem, und es ist auch kein Problem der Vergangenheit. Unternehmen auf der ganzen Welt sichern ihre 'RDP-Zugänge (Remote Desktop Protocol)' nicht."
Awingu hat in der Tat ähnliche Studien für "offene RDP-Posten" in Schweden und Italienund fand 9688 bzw. 33629 "exponierte" Unternehmen. Und während xDedic jetzt geschlossen ist, werden andere aufsteigen und haben dies wahrscheinlich bereits getan.
Ist RDP also unsicher?
Das Remote Desktop Protocol (RDP) wurde ursprünglich von Microsoft entwickelt, um vor allem in einem internen Firmennetz verwendet zu werden. Es ist zwar möglich, Ihre Umgebung direkt über das Internet zugänglich zu machen, aber es ist ratsam, vorher zumindest einige Sicherheitsmaßnahmen zu treffen. Im Internet finden Sie verschiedene Methoden zum Schutz Ihrer Umgebung, die zwar manchmal veraltet, aber sehr relevant und notwendig sind, um ein Mindestmaß an Sicherheit zu gewährleisten.
Die Schließung von xDedic beweist erneut, dass es erhebliche Risiken birgt, wenn Sie Ihre RDP-Umgebung ungeschützt lassen: "Seit 2002 wurden 20 Microsoft-Sicherheitsupdates speziell für RDP veröffentlicht, und man kennt inzwischen mindestens 25 Schwachstellen (CVEs), die von böswilligen Parteien ohne großen Aufwand ausgenutzt werden können. Vor diesem Hintergrund muss man verrückt sein, wenn man seine Umgebung nicht mit einer zusätzlichen Sicherheitsebene ausstattet", sagt Kurt Bonne (CTO Awingu).
In den neueren RDP-Versionen hat Microsoft dem Sicherheitsaspekt große Aufmerksamkeit gewidmet, indem es nicht nur mehr Möglichkeiten hinzugefügt, sondern auch intelligentere Standardeinstellungen angeboten hat. Man sollte also meinen, dass es ein "No-Brainer" ist, zumindest seine RDP-Umgebung auf die neueste Version zu aktualisieren, aber oft sind ältere Anwendungen nicht immer kompatibel, und die älteren Versionen werden aus der Not heraus beibehalten.
Wie Awingu auf einfache Weise dazu beitragen kann, Ihre bestehende RDP-Bereitstellung zu sichern
Der browserbasierte Arbeitsbereich von Awingu bietet zusätzliche Sicherheitsebenen zu RDP. Wenn Sie ihn verwenden, stellen Sie die Verbindung zur Anwendung oder zum Desktop über einen Browser her - und nicht mehr über einen RDP-Client. Das bedeutet, dass Personen mit bösen Absichten die Schwachstellen eines ungeschützten RDP-Zugangs nicht mehr ausnutzen können. Um den Schutz durch den Browser-Zugang zu maximieren, implementiert Awingu die folgenden Sicherheitsmaßnahmen:
- Multi-Faktor-Authentifizierung: Awingu verfügt über eine integrierte MFA-Lösung und kann (falls erforderlich) Ihre derzeitige Authentifizierungsmethode problemlos integrieren. Durch das Hinzufügen von MFA stellen Sie sicher, dass "Brute-Force-Angriffe" nicht mehr möglich sind.
- SSL ohne Aufwand: Verwenden Sie Ihre eigenen Zertifikate oder wechseln Sie SSL über die integrierte Let's Encrypt-Integration mit nur einem Mausklick.
- Umfassende Audit-Möglichkeiten: Lassen Sie Ihre vorhandenen RDP-Protokollierungstools neben den integrierten Awingu-Audit-Funktionen laufen.
- Erkennung von Anomalien: Sie werden über Unregelmäßigkeiten in Ihrer Umgebung informiert, z. B. wenn sich jemand zu oft mit einem falschen Kennwort anmeldet oder wenn jemand versucht, sich aus dem Ausland anzumelden
Für weitere Informationen, lesen Sie auch dieser Blogbeitrag von 2017 der inmitten des Wannacry-Ausbruchs geschrieben wurde und erklärt, wie Awingu RDP um weitere Sicherheitsebenen ergänzt.
Möchten Sie mehr erfahren und Awingu in Aktion sehen? Nehmen Sie Kontakt mit uns auf!
English 
Italian 
German 
Spanish 
French