Passwort-Irrsinn: Sicherheitsrisiko Windows Remote-Desktop-Protokoll
Nutzer können sich auch mit bereits widerrufenen Passwörtern über Windows Remote-Desktop anmelden - ein Umstand, der laut einem Sicherheitsforscher die grundlegenden Annahmen über Passwortsicherheit infrage stellt, aber von Microsoft gewollt ist.
Das Remote-Desktop-Protokoll (RDP) ist in Windows integriert und erlaubt es Nutzern, sich von entfernten Standorten in ihr System einzuloggen, als säßen sie direkt davor. In der Regel wird empfohlen, sofort nach dem Verdacht auf eine Kompromittierung eines Kontos das Passwort zu ändern - ein Schritt, der normalerweise den Zugriff durch unautorisierte Dritte unterbinden sollte. Doch Microsoft hat entschieden, dass diese Praxis nicht zwingend zu einem sofortigen Ausschluss des ehemaligen Passworts für RDP-Anmeldungen führt.
Diese Entscheidung lässt Sicherheitsexperten aufhorchen. Daniel Wade, ein unabhängiger Forscher, wies auf dieses ungewöhnliche Verhalten hin und beschrieb in seinem Bericht, der ArsTechnica vorliegt, wie Benutzer weiterhin über RDP auf Systeme zugreifen können, selbst nachdem sie ihre Passwörter geändert haben.
Nach Auskunft des Unternehmens soll dies sicherstellen, dass Nutzer nicht ungewollt ausgesperrt werden, wenn ihre Systeme offline sind. Wade hebt hervor, dass gerade in Fällen eines kompromittierten Microsoft- oder Azure-Kontos das Ändern des Passworts nicht den erhofften Schutz bietet.
Angreifer könnten durch die Rückfalloption, sich mit dem alten Passwort über RDP Zugriff zu verschaffen, ungehindert auf sensible Daten zugreifen. "Dies schafft eine stille, entfernte Hintertür in jedes System, in dem das Passwort jemals zwischengespeichert wurde", fasst Wade zusammen.
Die technische Basis hinter diesem Verhalten ist die lokale Zwischenspeicherung von Anmeldeinformationen. Wenn sich ein Benutzer mit einem Microsoft- oder Azure-Konto anmeldet, werden die Anmeldedaten lokal auf dem Computer gespeichert. In der Konsequenz vergleicht Windows bei jeder RDP-Anmeldung nur die lokalen Daten - eine Maßnahme, die den Fernzugriff über widerrufene Passwörter weiterhin erlaubt.
Microsoft hat zwar seine Online-Dokumentation aktualisiert, um die Nutzer über dieses Verhalten zu informieren, jedoch gibt es keine klaren Anweisungen zur Handhabung der Situation, wenn ein Konto kompromittiert wurde. Laut Will Dormann, einem Sicherheitsanalysten, bleibt den Administratoren letztendlich nur die Möglichkeit, RDP so zu konfigurieren, dass es nur mit lokal gespeicherten Anmeldedaten arbeitet, um sich abzusichern.
Was meint ihr zur Diskussion um die grundlegende Sicherheit und zur Vertrauenswürdigkeit?
Siehe auch:
Sicherheitsrisiko durch unveränderte Anmeldedaten
Sicherheitsforscher warnen, dass dieses Verhalten de facto eine nicht sichtbare Hintertür schafft, die unbefugten Zugriff auf Computer ermöglicht. Das meldet das Online-Magazin ArsTechnica und erläutert das dahinterliegende Problem.Das Remote-Desktop-Protokoll (RDP) ist in Windows integriert und erlaubt es Nutzern, sich von entfernten Standorten in ihr System einzuloggen, als säßen sie direkt davor. In der Regel wird empfohlen, sofort nach dem Verdacht auf eine Kompromittierung eines Kontos das Passwort zu ändern - ein Schritt, der normalerweise den Zugriff durch unautorisierte Dritte unterbinden sollte. Doch Microsoft hat entschieden, dass diese Praxis nicht zwingend zu einem sofortigen Ausschluss des ehemaligen Passworts für RDP-Anmeldungen führt.
Diese Entscheidung lässt Sicherheitsexperten aufhorchen. Daniel Wade, ein unabhängiger Forscher, wies auf dieses ungewöhnliche Verhalten hin und beschrieb in seinem Bericht, der ArsTechnica vorliegt, wie Benutzer weiterhin über RDP auf Systeme zugreifen können, selbst nachdem sie ihre Passwörter geändert haben.
Es ist nicht nur ein Fehler, sondern ein Vertrauensbruch. Nutzen die Menschen diese Funktion, gehen sie davon aus, dass das Ändern ihres Passworts sie schützt.Die Aufdeckung löste Besorgnis aus, da alte Anmeldedaten in vielen Fällen weiterhin gültig sind, während neuere Passwörter sogar ignoriert werden könnten. Microsoft hat dies als eine bewusste Designentscheidung gerechtfertigt und in einem Support-Dokument genauer erläutert. Microsoft hat zudem wohl erklärt, dass man die Sicherheitsbedenken kennt, aber nicht teilt.
Nach Auskunft des Unternehmens soll dies sicherstellen, dass Nutzer nicht ungewollt ausgesperrt werden, wenn ihre Systeme offline sind. Wade hebt hervor, dass gerade in Fällen eines kompromittierten Microsoft- oder Azure-Kontos das Ändern des Passworts nicht den erhofften Schutz bietet.
Angreifer könnten durch die Rückfalloption, sich mit dem alten Passwort über RDP Zugriff zu verschaffen, ungehindert auf sensible Daten zugreifen. "Dies schafft eine stille, entfernte Hintertür in jedes System, in dem das Passwort jemals zwischengespeichert wurde", fasst Wade zusammen.
Die technische Basis hinter diesem Verhalten ist die lokale Zwischenspeicherung von Anmeldeinformationen. Wenn sich ein Benutzer mit einem Microsoft- oder Azure-Konto anmeldet, werden die Anmeldedaten lokal auf dem Computer gespeichert. In der Konsequenz vergleicht Windows bei jeder RDP-Anmeldung nur die lokalen Daten - eine Maßnahme, die den Fernzugriff über widerrufene Passwörter weiterhin erlaubt.
Microsoft hat zwar seine Online-Dokumentation aktualisiert, um die Nutzer über dieses Verhalten zu informieren, jedoch gibt es keine klaren Anweisungen zur Handhabung der Situation, wenn ein Konto kompromittiert wurde. Laut Will Dormann, einem Sicherheitsanalysten, bleibt den Administratoren letztendlich nur die Möglichkeit, RDP so zu konfigurieren, dass es nur mit lokal gespeicherten Anmeldedaten arbeitet, um sich abzusichern.
Was meint ihr zur Diskussion um die grundlegende Sicherheit und zur Vertrauenswürdigkeit?
Zusammenfassung
- Remote-Desktop-Protokoll erlaubt Anmeldung mit widerrufenen Passwörtern
- Microsoft bezeichnet dies als bewusste Designentscheidung für Offline-Systeme
- Sicherheitsexperten warnen vor möglicher 'stiller, entfernter Hintertür'
- Lokale Zwischenspeicherung von Anmeldedaten ermöglicht dieses Verhalten
- Administratoren können RDP nur mit lokalen Anmeldedaten konfigurieren
- Microsoft kennt Sicherheitsbedenken, teilt diese jedoch nicht
- Experten sehen darin einen Vertrauensbruch gegenüber den Nutzern
Siehe auch:
Thema:
Beliebte Downloads
Videos zum Thema Cloud
Beiträge aus dem Forum
-
LibreOffice-News: Office bald in Browser, Mobile und Cloud
d-hubs -
Nextcloud und IONOS bringen am 9. Juni die erste stabile Version
d-hubs -
Droid2PC: Android und Mac sinnvoll ohne Cloud-Zwang verbinden
Droid2PC_DE -
Nextcloud-Server auf einem Raspberry Pi betreiben
d-hubs -
#CloudFest Hackathon :: vom 20-22. März '26
d-hubs -
Datei öffnen dauert 30 Sekunden OneDrive
haylebob -
immich - Open-Source-Software: eine komplette Foto-Cloud
d-hubs -
Nextcloud Talk: MS-Teams Alternat., Open Source & DSGVO-kompatibel
d-hubs -
Office 365 Anmelden geht nicht
nitewish -
OneDrive speicherung von Dateiversionen
SeBu
Interessante Links
Beliebt im Preisvergleich
- NAS-Systeme:
Neue Nachrichten
- Forscher bauen aus alten Handys erstaunlich leistungsstarke Server
- Xbox-Exodus: Chef von Microsofts Spielestudios geht
- Galaxy A27: Samsung leakt sein neues Jedermann-Smartphone selbst
- Spiele als Dauerwerbesendung: EA plant Reklame 'direkt im Gameplay'
- Nutzen umstritten, UK bannt dennoch Social Media für Unter-16-Jährige
- Fox kauft Roku: Neuer Streaming-Gigant für 22 Milliarden Dollar
- Drohnen-Alternative: Schlangenroboter prüfen Hochspannungsleitungen
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen