Threat Spotlight: Die Remote-Desktop-Tools, die im letzten Jahr am häufigsten von Angreifern ins Visier genommen worden waren

Mit Remote-Desktop-Software können sich Mitarbeiter in ihr Computernetzwerk einklinken, ohne physisch mit dem Host-Gerät verbunden zu sein oder sich gar am selben Ort zu befinden. Dies macht es zu einem nützlichen Tool für eine remote arbeitende Belegschaft. Leider ist Remote-Desktop-Software auch ein Hauptziel für Cyberangriffe.

Zu den Sicherheitsherausforderungen, mit welchen IT-Teams bei der Implementierung von Remote-Desktop-Software konfrontiert sind, gehört die Tatsache, dass viele unterschiedliche Tools zur Verfügung stehen, die für den Betrieb jeweils unterschiedliche und manchmal sogar mehrere Ports verwenden. Ports sind virtuelle Verbindungspunkte, die es Computern ermöglichen, zwischen verschiedenen Arten von Traffic zu unterscheiden. Die Verwendung mehrerer Ports kann es IT-Sicherheitsteams erschweren, feindselige Verbindungen und anschließendes Eindringen zu überwachen und zu erkennen.

Die einfachste und am weitesten verbreitete Angriffsmethode gegen Remote-Desktop-Software ist die missbräuchliche Verwendung von schwachen, wiederverwendeten bzw. gefälschten Zugangsdaten. Dadurch können Angreifer sofort wie der Benutzer selbst auf die Systeme zugreifen. Remote-Desktop-Softwareimplementierungen können auch anfällig für Softwarefehler-Exploits und Betrugsversuche über den technischen Support sein.

In diesem Artikel sehen wir uns die gängigsten Tools, die zugehörigen Ports und die Möglichkeiten an, mit welchen Angreifer Zugriff erhalten könnten und dies auch erreichen. 

Die meistgenutzten Remote-Desktop-Tools der letzten 12 Monate

 Virtual Network Computing (VNC) – Ports 5800+, 5900+

 VNC, das das RFB-Protokoll verwendet, ist ein weit verbreitetes, plattformunabhängiges Tool. Dadurch können Benutzer und Geräte unabhängig von den Betriebssystemen eine Verbindung zu Servern herstellen. VNC wird unter anderem als Basissoftware für die Remote-Desktop- und Screen-Sharing-Lösungen von Apple verwendet. Es wird auch häufig in kritischen Infrastrukturbranchen wie Versorgungsunternehmen eingesetzt, die zunehmend zum Ziel von Cyberangriffen werden.

Datenquellen von Barracuda zufolge war VNC im letzten Jahr das mit Abstand am häufigsten angegriffene Remote-Desktop-Tool, das 98 % des Traffics über alle Remote-Desktop-spezifischen Ports ausmachte.

Mehr als 99 % dieser Angriffsversuche zielten auf HTTP-Ports ab, die restlichen 1 % auf TCP (Transfer Control Protocol). Dies liegt wahrscheinlich daran, dass das für den Zugriff auf Websites verwendete Protokoll HTTP im Gegensatz zu TCP, das für den Datenaustausch zwischen Apps und Geräten verwendet wird, keine spezielle Authentifizierung erfordert.

Bei den meisten beobachteten Angriffen auf VNC wurde versucht, schwache und wiederverwendete Passwörter mit Brute-Force-Methoden zu knacken. Die häufigste Angriffsschwachstelle war CVE-2006-2369, die es einem Angreifer ermöglicht, die Authentifizierung im 18 Jahre alten RealVNC 4.1.1 zu umgehen.

VNC umfasst mehrere Softwareangebote, die sich hinsichtlich ihrer Merkmale und Funktionalität leicht unterscheiden können. Einige haben ein achtstelliges Limit für Passwörter, was es Angreifern erheblich erleichtert, das Passwort zu knacken, um Zugang zu erhalten. Standardmäßig ist der VNC-Traffic nicht verschlüsselt, aber einige Lösungen verwendeten Secure Shell-, SSH- oder VPN-Tunneling zur Verschlüsselung des Traffics, was zur Erhöhung der Sicherheit beiträgt.

VNC hat eine Reihe von Ports, die es verwenden kann. Die Basis-Ports sind 5800 für TCP-Verbindungen und 5900 für HTTP, aber die Display-Nummer (in der Spezifikation als N bezeichnet) wird dem Basisport hinzugefügt, um die Verbindung zu verschiedenen Displays zu ermöglichen. Die physische Anzeige ist 0, die den Basisports zugewiesen wird, aber Verbindungen und Angriffe können auch höhere Portnummern nutzen. Dies verkompliziert die Dinge aus Sicht der Security, da es nicht wie bei anderen Remote-Desktop-Lösungen einen oder zwei streng definierte Ports gibt, die berücksichtigt werden müssen.

Es ist schwierig, die geografische Quelle der Angriffe genau zu ermitteln, da viele Angreifer Proxys oder VPNs verwenden, um ihre wahre Herkunft zu verschleiern. Innerhalb dieser Einschränkung scheint es jedoch, dass etwa 60 % des bösartigen Traffics, der auf VNC abzielt, aus China stammt.

Remote Desktop Protocol – Port 3389

RDP ist ein relativ gebräuchliches, proprietäres Protokoll, das von Microsoft für die Verwendung auf Remotedesktops entwickelt wurde. Auf RDP entfielen etwa 1,6 % der versuchten Angriffe, die wir im letzten Jahr auf Remote-Desktop-Tools entdeckt haben. Bei größeren Angriffen auf Netzwerke und Daten kommt jedoch eher RDP als VNC zum Einsatz. 

RDP-Angriffe werden häufig zur Installation von Malware genutzt, meist Ransomware oder Kryptominer, bzw. um anfällige Rechner als Teil von DDoS-Angriffen zu nutzen.

Etwa einer von sechs (15 %) Angriffsversuchen betrifft ein veraltetes Cookie. Dies könnte eine gezielte Taktik sein, um den Angreifern zu helfen, ältere und daher wahrscheinlich anfälligere Versionen der RDP-Software für zusätzliche Angriffe zu identifizieren.

Wie andere Remote-Desktop-Dienste wird ein Angriff auf RDP hauptsächlich über Zugangsdaten ermöglicht. Im Laufe der Jahre wurden jedoch einige schwerwiegende Schwachstellen gemeldet, die die Remotecodeausführung (RCE für Remote Code Execution) auf dem Zielsystem ermöglichen. Einige bemerkenswerte Schwachstellen sind CVE-2018-0886, die den Credential Security Support Provider (CredSSP) betreffen, der für die RDP-Authentifizierung verwendet wird; CVE-2019-0708, auch bekannt als BlueKeep, das in einen Wurm verwandelt werden konnte (obwohl in realen Einsatzumgebungen keine Würmer gemeldet wurden); und CVE-2019-0887, das Angreifern eine Möglichkeit bot, virtuelle Hyper-V-Maschineninstanzen zu umgehen, um Zugriff auf den Hypervisor zu erhalten.

Es ist auch möglich, dass Angreifer RDP nutzen, um Passwort-Hashes für privilegiertere Konten, die Arbeitsplätze verwalten können, zu erlangen.Dies kann im Rahmen eines Angriffs auf ein System mit aktiviertem RDP-Server oder zur Rechteausweitung durch die Aktivierung von RDP auf einem System erfolgen, das bereits von einem Angreifer kompromittiert worden war.

Trotz dieser potenziell risikoreichen RCE-Schwachstellen handelte es sich bei den meisten beobachteten Angriffsversuchen auf RDP um Denial-of-Service-Schwachstellen, die 9 % des beobachteten Traffics ausmachten.

RDP wird auch bei Microsoft Support Vishing-Angriffen (Sprach-/Telefon-Phishing) verwendet, mit denen Benutzer hinters Licht geführt werden sollen, dass ihr Computer technische Probleme hat, die der Angreifer beheben kann, wenn ihm der RDP-Zugriff aktiviert und gewährt wird. Es gibt auch einen Untergrundmarkt für verwundbare oder geknackte RDP-Instanzen, die andere Angreifer nach Belieben nutzen können und oft mehrere Dollar pro Instanz einbringen.

Die Daten deuten darauf hin, dass die meisten Angriffsversuche gegen RDP aus Nordamerika stammten (auf sie entfallen etwa 42 % der Angriffe), gefolgt von China und Indien. Allerdings kann – wie oben erwähnt – die Verwendung von Proxys oder VPNs die tatsächliche Quelle der Angriffe verschleiern.

TeamViewer – Port 5938

Angriffe auf TeamViewer machten 0,1 % des bösartigen Traffics über alle von unseren Datenquellen erfassten Remote-Desktop-Ports aus. Die wenigen erkannten Angriffe betrafen die Log4Shell-Schwachstelle und zielten offenbar auf das zentrale Management des Tools, das Frontline Command Center, ab, das anscheinend die einzige TeamViewer-Anwendung ist, die Java nutzt.

Die neuesten Versionen von TeamViewer sind auf den Einsatz und die Integration von Unternehmen, unter anderem mit Microsoft Teams, Salesforce und ServiceNow ausgerichtet. Als Enterprise-Angebot bietet TeamViewer mehr Sicherheitsfunktionen wie Geräte-Fingerprinting, automatisch generierte Zugangsdaten (die schwache oder wiederverwendete Passwörter verhindern), exponentielles Backoff für falsche Zugangsdaten (exponentielle Erhöhung der Wartezeit bei jeder Verwendung falscher Zugangsdaten, was vor Brute-Force-Angriffen schützt) und Multifaktor-Authentifizierung (MFA). Außerdem wird der gesamte Traffic zwischen dem TeamViewer-Client und -Server zur Erhöhung der Sicherheit verschlüsselt.

Trotz dieser Schutzmaßnahmen wird TeamViewer manchmal immer noch für Angriffe verwendet oder ist das Ziel von Angriffen. Der Grund hierfür liegt häufig in Phishing-Versuchen oder der unsicheren Weitergabe von Zugangsdaten. TeamViewer wird manchmal auch bei technischen Support-Betrugsversuchen verwendet.

Neben Port 5938 können mit TeamViewer auch die Ports 80 und 443 verwendet werden, was es für das Sicherheitsteam schwieriger machen kann, bösartige Verbindungen im Netzwerk zu erkennen.

Independent Computing Architecture (ICA) – Ports 1494, 2598

ICA ist ein von Citrix als Alternative zu RDP entwickeltes Remote-Desktop-Protokoll, obwohl die Citrix-Lösungen, die ICA verwenden, normalerweise auch RDP unterstützen. Port 1494 wird für eingehende ICA-Verbindungen verwendet. ICA kann auch im Common Gateway Protocol von Citrix verschachtelt werden, das Port 2598 verwendet. Einige frühere Versionen des ICA-Clients wiesen RCE-Schwachstellen auf. Eine allgemeinere RCE-Schwachstelle, CVE-2023-3519, betraf auch den ICA-Proxy und wurde von Angreifern zur Erstellung von Web-Shells auf betroffenen Systemen Systemen genutzt.

AnyDesk – Port 6568

AnyDesk ist eine weitere Remote-Desktop-Lösung, die sowohl für Betrugsversuche über den technischen Support als auch über den Kundendienst im Online-Banking verwendet wurde. AnyDesk wurde 2018 in einigen Ransomware-Varianten gebündelt, möglicherweise um Malware-Erkennungssysteme hinsichtlich des wahren Zwecks der Malware zu verwirren. Neben Port 6568 können auch die Ports 80 oder 443 verwendet werden.

Splashtop Remote – Port 6783

Obwohl Splashtop Remote unter den Remote-Desktop-Lösungen die wenigsten Angriffsversuche verzeichnete, kam es auch bei Support-Betrügereien zum Einsatz. Es kann auch durch schwache, wiederverwendete oder per Phishing erlangte Zugangsdaten kompromittiert werden.

Risikominderung

Von entscheidender Bedeutung sind Defense-in-Depth-Sicherheitslösungen, die verdächtigen Port-Traffic im gesamten Netzwerk erkennen können. Ergänzt werden sollten diese durch robuste Sicherheitsrichtlinien und -programme, wie etwa die Beschränkung des Remote-Dienstzugriffs auf diejenigen Personen, die ihn benötigen, die Verwendung sicherer Verbindungen wie eines VPN und die regelmäßige Aktualisierung der Software mit den neuesten Patches. Die Authentifizierungsmethoden sollten die Verwendung sicherer Passwörter und mindestens Multifaktor-Authentifizierung (MFA) beinhalten; ideal wäre der Übergang zu einem Zero-Trust-Ansatz.

Die Standardisierung auf eine bestimmte Remote-Desktop-Lösung im gesamten Unternehmen ermöglicht es dem IT-Team, seine Ressourcen auf die Verwaltung, Überwachung und Sicherung der zugehörigen Ports zu konzentrieren und anderen Traffic zu blockieren.