Dieser Artikel wurde veröffentlicht in Techworld am 25/01/2019. Svensk version: se nedan.
In einer eingehenden Untersuchung der IT-Sicherheit schwedischer Unternehmen konnte Awingu 9.655 Organisationen identifizieren, die einem hohen Hacking-Risiko ausgesetzt sind. Wir haben speziell nach IP-Adressen gesucht, die mit ungeschützten Remote Desktop-Servern (basierend auf dem Remote Desktop-Protokoll) verbunden waren. RDP von Microsoft ist eine sehr beliebte serverbasierte Computertechnologie, die jedoch in ihrer reinen Form keinen ausreichenden Schutz bietet. Wenn Sie Awingu zusätzlich zu RDP implementieren, können Sie das Sicherheitsrisiko Ihrer IT-Umgebung erheblich verringern.
RDP ist eine der meistgenutzten IT-Lösungen der Welt. Über den RDP-Client, eine Anwendung, die auf dem Gerät des Benutzers (z. B. einem Laptop) installiert werden muss, ermöglichen Sie es den Benutzern, aus der Ferne auf einen Desktop oder eine Anwendung zuzugreifen. In der Regel wird dies verwendet, um Mitarbeitern die Möglichkeit zu geben, ihre Software sowohl innerhalb als auch außerhalb des Unternehmens zu nutzen. RDP ist eine niedrigschwellige Lösung, und der Zusatz von Sicherheit wird manchmal weggelassen: zusätzliche Sicherheitsmaßnahmen (z. B. Firewall-Regeln oder Zugriffskontrolllisten) bedeuten zusätzliche Komplexität für den IT-Administrator (und den Benutzer).
Ihre RDP-Umgebung ungeschützt zu lassen, ist jedoch nicht ohne Risiken: "Seit 2002 wurden 20 Microsoft-Sicherheitsupdates speziell für RDP veröffentlicht, und man kennt inzwischen mindestens 25 Schwachstellen (CVEs), die böswillige Parteien ohne großen Aufwand ausnutzen können. Vor diesem Hintergrund muss man verrückt sein, wenn man seiner Umgebung keine zusätzliche Sicherheitsebene hinzufügt", erklärt uns Kurt Bonne (CTO Awingu).
Nach einer Analyse auf der Grundlage der von der Suchmaschine Shodan zur Verfügung gestellten Daten kam Awingu zu folgendem spektakulären Ergebnis: Fast 9.655 RDP-Endpunkte sind derzeit in Schweden öffentlich zugänglich. Das bedeutet, dass diese für jedermann über das Internet zugänglich sind - auch wenn keine sichere, von der Organisation ermöglichte Verbindung hergestellt wird. Mit anderen Worten: Sie sind nicht oder nur unzureichend geschützt und haben ein unübersehbares Potenzial, gehackt zu werden. Solche Unternehmen mit einer offenen RDP-Umgebung sind daher gut beraten, so schnell wie möglich etwas dagegen zu unternehmen.
Offene RDP-Endpunkte kommen überall in Schweden vor: Jede Form der geografischen Konzentration, die wir bei unseren Untersuchungen festgestellt haben, entspricht der Industriedichte. Mit anderen Worten: Es handelt sich um ein globales Problem, das keine Region besonders zu betreffen scheint. Wenn wir die betroffenen Unternehmen - oder zumindest den Standort ihres Rechenzentrums - auf einer Karte darstellen, ergibt sich folgendes Bild:
Standorte der offenen RDP-Endpunkte Schweden - Januar 2019, Awingu
Das Remote Desktop-Protokoll wurde ursprünglich für den Einsatz in einem internen Firmennetz entwickelt. Es ist zwar möglich, Ihre Umgebung direkt über das Internet zugänglich zu machen, aber es ist ratsam, vorher zumindest einige Sicherheitsmaßnahmen zu treffen. Im Internet finden Sie verschiedene Methoden zum Schutz Ihrer Umgebung, die zwar manchmal veraltet, aber sehr relevant und notwendig sind, um ein Mindestmaß an Sicherheit zu gewährleisten.
In den neueren RDP-Versionen hat Microsoft dem Sicherheitsaspekt große Aufmerksamkeit gewidmet, indem es nicht nur mehr Möglichkeiten hinzugefügt, sondern auch intelligentere Standardeinstellungen angeboten hat. Man sollte also meinen, dass es ein "No-Brainer" ist, zumindest seine RDP-Umgebung auf die neueste Version zu aktualisieren, aber oft sind ältere Anwendungen nicht immer kompatibel, und die älteren Versionen werden aus der Not heraus beibehalten.
Unzureichende Sicherheit bei RDP-Ports ist ein universelles Problem in Schweden, das nicht regional begrenzt ist und Unternehmen, die mit einem beliebigen Anbieter verbunden sind, ob groß oder klein, behindert. Es wird daher dringend empfohlen, die Situation in Ihrem Unternehmen zu überprüfen und gegebenenfalls eine zusätzliche Sicherheitsebene über Ihre Umgebung zu legen. Wenn Sie dies nicht tun, besteht ein erhebliches Risiko, dass Sie jederzeit gehackt werden können. Awingu ist eine Lösung, die den Unternehmen diese zusätzliche Sicherheit bietet.
Awingu bietet mit seinem Unified Workspace eine Lösung für dieses Problem. Bei dessen Nutzung verbinden Sie sich mit der Anwendung oder dem Desktop über einen Browser - und nicht mehr über einen RDP-Client. Das bedeutet, dass Personen mit bösen Absichten die Schwachstellen eines ungeschützten RDP-Zugangs nicht mehr ausnutzen können. Um den Schutz durch den Browser-Zugang zu maximieren, implementiert Awingu die folgenden Sicherheitsmaßnahmen:
- Multi-Faktor-Authentifizierung: Awingu verfügt über eine integrierte MFA-Lösung und kann (falls erforderlich) Ihre derzeitige Authentifizierungsmethode problemlos integrieren. Durch das Hinzufügen von MFA stellen Sie sicher, dass "Brute-Force-Angriffe" nicht mehr möglich sind.
- SSL ohne Aufwand: Verwenden Sie Ihre eigenen Zertifikate oder wechseln Sie SSL über die integrierte Let's Encrypt-Integration mit nur einem Mausklick.
- Umfassende Audit-Möglichkeiten: Lassen Sie Ihre vorhandenen RDP-Protokollierungstools neben den integrierten Awingu-Audit-Funktionen laufen.
- Erkennung von Anomalien: Sie werden über Unregelmäßigkeiten in Ihrer Umgebung informiert, z. B. wenn sich jemand zu oft mit einem falschen Kennwort anmeldet oder wenn jemand versucht, sich aus dem Ausland anzumelden
Möchten Sie mehr erfahren und Awingu in Aktion sehen? Nehmen Sie Kontakt mit uns auf!
TUSENTALS SVENSKA FÖRETAG ÖPPNA FÖR GISSLANATTACKER
Tusentals svenska företag exponerar tcp-porten för det ökända protokollet rdp, visar en granskning.
Das Remote Desktop Protocol (RDP) ist ein von Microsoft entwickeltes Kommunikationsprotokoll, das es Ihnen ermöglicht, Ihre Daten mit einem beliebigen Rechner über das Internet zu übertragen. Protokollet presenterades 1996 och var från början tänkt att användas på interna nätverk, och används flitigt än idag för att administrera Windows-servrar och inte minst för att underlätta i supportärenden. Protokollet består av en serverdel som delar ut protokollet över tcp-porten 3389, och en klientapplikation. Klientapplikationen gibt es auch für andere Betriebssysteme wie Linux und Mac OS X.
Rdp har genom åren visat sig vara en säkerhetsrisk. Microsoft hat im Jahr 2002 20 Protokollet-Säkerhetsuppdateringar eingeführt, und am heutigen Tag wurden 25 weitere CVE-geprüfte Server gefunden, die RDP enthalten. Damit besteht ein hohes Risiko, dass Windows-Server im Internet über den TCP-Port 3389 ausspioniert werden. Rdp-tjänsten på en Windows-maskin skyddas i grundläget endast av användarnamn och lösenord, vilket anses vara en för låg säkerhetsnivå.
Trots att de flesta it-administratörer känner till riskerna väljer många, medvetet eller omedvetet, att exponera rdp mot internet. Förklaringen är förmodligen att rdp är ett bekvämt sätt att fjärradministrera servrar. Unter Windows-Miljön ist rdp einkligen smidigt, men farligt. Sogar bei voll aufgerüsteten Windows-Servern in der neuesten Version ist es möglich, den Internetanschluss mit einem zusätzlichen Speicherplatz zu versehen.
Rdp-lösenord säljs på svarta marknaden
Selbst ein aufgerüstetes Windows-System ist nicht unproblematisch, auch wenn das größte Problem darin besteht, dass das System mit den entsprechenden Schnittstellen nicht aufgerüstet wurde. Das Problem besteht darin, dass die Lösung des Problems bis zu einem bestimmten Zeitpunkt auf dem Markt verfügbar sein muss. Ett annat problem är att rdp-system är sårbara för så kallade brute-force-attacker där förövarna systematiskt och automatiserat testar olika lösord. Är då lösordet svagt är risken stor att förövarna kommer in. Das Problem ist, dass die Konfiguration des Systems an den Endpunkten felaktisch sein kann, auch wenn es für den Angreifer gefährlich ist.
Wenn die Nutzer die Dienste über ein Administrationskonto verwalten, wird das System nicht mehr verwendet, wenn die Nutzer die Dienste nicht mehr nutzen können.
"Rdp är ganska dåligt om det är öppet, inte bara för att det kan finnas sårbarheter i rdp-tjänsten (authentication bypass), men även för att inloggningsuppgifter för rdp-tjänster säljs friskt på svarta marknaden", säger David Jacoby, Experte bei Kaspersky Labs gegenüber Techworld.
Belgiska saas-leverantören Awingu har genomfört en analys av öppna rdp-portar bland svenska företag. Denna analys, som Techworld tagit del av, visar att inte mindre än 9 655 svenska organisationer exponerar rdp-porten mot internet. Alle diese Unternehmen haben ein hohes Risiko, von Angreifern angegriffen zu werden. Awingu hat mit Hilfe der Software Shodan eine Reihe von schwedischen IP-Adressen gefunden, die den tcp-Port 3389 freischalten.
"Med tanke på omständigheterna måste man vara tokig om man exponerar rdp-porten utan något extra skyddslager", säger Kurt Bonne, cto på Awingu.
Men problem med exponerade rdp-portar begränsas förstås inte endast till Sverige. Sökmotorn Shodan användes även av säkerhetsföretaget Avast när de i oktober förra året kom fram till att nästan 3,5 miljoner rdp-portar är exponerade världen över.
Anbieter verbunden mit RDP-Endpunkte öffnen Schweden - Januar 2019, Awingu
Gisslanprogramm älskar rdp
Im Laufe des Jahres wurde ein Erpresserprogramm (Ransomware) eingesetzt, das die Sicherheit im Internet erhöht hat. Verschiedene Varianten mit Namen wie ACCDFISA, SamSam und CrySiS haben sich im Internet verbreitet, um Daten auf dem eigenen System zu verschlüsseln. CrySiS har i sin tur gett upphov till fler varianter som Dharma, Brrr, Gamma och Monro. Nyligen skrev Techworld om en ny variant av Dharma som heter Phobos, som upptäcktes av säkerhetsanalytiker så sent som i december förra året. Att gisslanprogram älskar rdp är i sig ett bevis på protokollets svagheter; de som utvecklar attackerna vet att använda minsta motståndets lag.
"Vi har sett flera ransomware-attacker som spridits just via stulna rdp-konton", säger David Jacoby bei Kaspersky Labs.
Sogar die amerikanische Bundespolizei FBI hat mit dem Ministerium für Innere Sicherheit ein gemeinsames Band zwischen Gisslanattackern und entlarvten rdp-portar erstellt. I en offensichtliche Warnung som publicerades 27 september förra året skriver myndigheterna att alla som använder rdp bör se över sina system och stänga av protokollet där det inte är absolut nödvändigt, men att systemen kan skyddas med hjälp av vpn-kopplingar och tvåfaktorsautentisering.
Wenn das rdp-Protokoll nödvändigt ist, müssen die Systemadministratoren das System bis zum Ende warten. Alla Techworld talat med är rörande överens om att protokollet helst bör stängas av, men om systemadministratörer måste använda rdp så ska det göras över vpn. Eine gute Möglichkeit, das System zu sperren, besteht darin, eine Fernsteuerungsautorisierung vorzunehmen.
"Man kann ein Windows-System blockieren, um rdp zu blockieren und das System über rdp-porten över vpn zu erreichen, aber das ist ein sehr kompliziertes Verfahren. Då är tvåfaktorsautentisering vägen framåt", säger Kurt Bonne på Awingu.
English 
Italian 
German 
Spanish 
French