Nutzer knnen sich auch mit bereits widerrufenen Passwrtern ber Windows Remote-Desktop anmelden – ein Umstand, der laut einem Sicherheitsforscher die grundlegenden Annahmen ber Passwortsicherheit infrage stellt, aber von Microsoft gewollt ist.
Sicherheitsrisiko durch unvernderte Anmeldedaten
Sicherheitsforscher warnen, dass dieses Verhalten de facto eine nicht sichtbare Hintertr schafft, die unbefugten Zugriff auf Computer ermglicht. Das meldet das Online-Magazin ArsTechnica und erlutert das dahinterliegende Problem.
Das Remote-Desktop-Protokoll (RDP) ist in Windows integriert und erlaubt es Nutzern, sich von entfernten Standorten in ihr System einzuloggen, als sen sie direkt davor. In der Regel wird empfohlen, sofort nach dem Verdacht auf eine Kompromittierung eines Kontos das Passwort zu ndern – ein Schritt, der normalerweise den Zugriff durch unautorisierte Dritte unterbinden sollte. Doch Microsoft hat entschieden, dass diese Praxis nicht zwingend zu einem sofortigen Ausschluss des ehemaligen Passworts fr RDP-Anmeldungen fhrt.
Diese Entscheidung lsst Sicherheitsexperten aufhorchen. Daniel Wade, ein unabhngiger Forscher, wies auf dieses ungewhnliche Verhalten hin und beschrieb in seinem Bericht, der ArsTechnica vorliegt, wie Benutzer weiterhin ber RDP auf Systeme zugreifen knnen, selbst nachdem sie ihre Passwrter gendert haben.
Es ist nicht nur ein Fehler, sondern ein Vertrauensbruch. Nutzen die Menschen diese Funktion, gehen sie davon aus, dass das ndern ihres Passworts sie schtzt.
Die Aufdeckung lste Besorgnis aus, da alte Anmeldedaten in vielen Fllen weiterhin gltig sind, whrend neuere Passwrter sogar ignoriert werden knnten. Microsoft hat dies als eine bewusste Designentscheidung gerechtfertigt und in einem Support-Dokument genauer erlutert. Microsoft hat zudem wohl erklrt, dass man die Sicherheitsbedenken kennt, aber nicht teilt.
Nach Auskunft des Unternehmens soll dies sicherstellen, dass Nutzer nicht ungewollt ausgesperrt werden, wenn ihre Systeme offline sind. Wade hebt hervor, dass gerade in Fllen eines kompromittierten Microsoft- oder Azure-Kontos das ndern des Passworts nicht den erhofften Schutz bietet.
Angreifer knnten durch die Rckfalloption, sich mit dem alten Passwort ber RDP Zugriff zu verschaffen, ungehindert auf sensible Daten zugreifen. «Dies schafft eine stille, entfernte Hintertr in jedes System, in dem das Passwort jemals zwischengespeichert wurde», fasst Wade zusammen.
Die technische Basis hinter diesem Verhalten ist die lokale Zwischenspeicherung von Anmeldeinformationen. Wenn sich ein Benutzer mit einem Microsoft- oder Azure-Konto anmeldet, werden die Anmeldedaten lokal auf dem Computer gespeichert. In der Konsequenz vergleicht Windows bei jeder RDP-Anmeldung nur die lokalen Daten – eine Manahme, die den Fernzugriff ber widerrufene Passwrter weiterhin erlaubt.
Microsoft hat zwar seine Online-Dokumentation aktualisiert, um die Nutzer ber dieses Verhalten zu informieren, jedoch gibt es keine klaren Anweisungen zur Handhabung der Situation, wenn ein Konto kompromittiert wurde. Laut Will Dormann, einem Sicherheitsanalysten, bleibt den Administratoren letztendlich nur die Mglichkeit, RDP so zu konfigurieren, dass es nur mit lokal gespeicherten Anmeldedaten arbeitet, um sich abzusichern.
Was meint ihr zur Diskussion um die grundlegende Sicherheit und zur Vertrauenswrdigkeit?
- Remote-Desktop-Protokoll erlaubt Anmeldung mit widerrufenen Passwrtern
- Microsoft bezeichnet dies als bewusste Designentscheidung fr Offline-Systeme
- Sicherheitsexperten warnen vor mglicher ’stiller, entfernter Hintertr›
- Lokale Zwischenspeicherung von Anmeldedaten ermglicht dieses Verhalten
- Administratoren knnen RDP nur mit lokalen Anmeldedaten konfigurieren
- Microsoft kennt Sicherheitsbedenken, teilt diese jedoch nicht
- Experten sehen darin einen Vertrauensbruch gegenber den Nutzern
Siehe auch:
