What is the Remote Desktop Protocol (RDP)?

RDP is a common technical standard that allows individuals to use a computer from a different location. Companies frequently use this protocol to help employees access their office computers while working from home.

What are the primary security vulnerabilities associated with RDP?

The two most significant risks are weak login credentials and unrestricted access to port 3389. Attackers often exploit simple passwords or target port 3389 directly to launch attacks or gain unauthorized entry.

What is the BlueKeep vulnerability?

BlueKeep (CVE-2019-0708) is a critical 'wormable' security flaw that allows attackers to run unauthorized code on a computer by sending a specific request to its RDP port, potentially spreading across an entire network automatically.

How does single sign-on (SSO) help protect remote desktop sessions?

SSO moves remote access behind a secure login process, enabling stronger password requirements and additional security layers like two-factor authentication (2FA) to verify user identity.

How can organizations secure port 3389 from attackers?

Organizations can use secure tunneling software to block non-designated requests or set up firewall rules to allow traffic only from trusted IP addresses.

How does Cloudflare assist in securing RDP connections?

Cloudflare applies Zero Trust security controls through tools like Cloudflare Access and secure tunnels, hiding RDP resources from the public internet and ensuring only authenticated users gain entry.

Was sind die Sicherheitsrisiken von RDP?

Was sind die Sicherheitsrisiken von RDP? | RDP-Schwachstellen

Schwache Benutzerauthentifizierung und Port-Targeting sind zwei der Hauptschwachstellen des Remote Desktop Protocols (RDP).

Was ist RDP?

RDP – Remote Desktop Protocol – ist eines der Hauptprotokolle, das für Remote-Desktop-Sitzungen verwendet wird, d. h. wenn Mitarbeiter von einem anderen Gerät aus auf ihre Desktop-Computer im Büro zugreifen. RDP ist in den meisten Windows-Betriebssystemen enthalten und kann auch mit Macs genutzt werden. Viele Unternehmen verlassen sich auf RDP, damit ihre Mitarbeiter von zu Hause aus arbeiten können.

Was sind die größten Sicherheitsschwachstellen eines RDP?

Eine Schwachstelle ist eine Lücke oder ein Fehler in der Konstruktionsweise eines Programms, die es Angreifern ermöglicht, sich unberechtigten Zugang zu verschaffen. Denken Sie an ein unsachgemäß angebrachtes Schloss an einer Haustür, das es Kriminellen ermöglicht, in das Gebäude einzubrechen.

Dies sind die wesentlichen Schwachstellen von RDP:

Schwache Anmeldedaten von Benutzern. Die meisten Desktop-Computer werden durch ein Passwort geschützt. Benutzer können dieses Passwort in der Regel nach Belieben festlegen. Das Problem dabei ist, dass dasselbe Passwort oft auch für RDP-Remote-Anmeldungen verwendet wird. Unternehmen verwalten diese Passwörter in der Regel nicht und achten nicht auf ihre Stärke, und so bleiben diese Remote-Verbindungen oft anfällig für Brute-Force- oder Credential-Stuffing-Angriffe.
Uneingeschränkter Port-Zugang. RDP-Verbindungen erfolgen fast immer über Port 3389*. Angreifer können davon ausgehen, dass dies der aktive Port ist, und ihn u. a. als Ziel für On-Math-Angriffe ausnutzen.

*Im Netzwerkbereich ist ein Port ein logischer, softwarebasierter Ort, der für bestimmte Arten von Verbindungen vorgesehen ist. Durch Zuweisung verschiedener Prozesse zu verschiedenen Ports können Computer den Überblick über diese Prozesse behalten. Zum Beispiel geht HTTP-Traffic immer an Port 80, während HTTPS-Traffic über Port 443 läuft.

Welche Möglichkeiten gibt es, diese RDP-Schwachstellen zu beheben?

Zur Eindämmung der Risiken durch schwache Anmeldedaten:

Single-Sign-On (SSO): Viele Unternehmen nutzen bereits SSO-Dienste, um Benutzeranmeldungen für verschiedene Anwendungen zu verwalten. SSO bietet Unternehmen eine einfachere Möglichkeit, die Verwendung starker Passwörter durchzusetzen und noch sicherere Maßnahmen wie Zwei-Faktor-Authentifizierung (2FA) zu implementieren. Es ist möglich, den RDP-Fernzugriff hinter SSO zu verlagern, um die oben beschriebene Schwachstelle bei der Benutzeranmeldung abzusichern. (Cloudflare Zero Trust zum Beispiel ermöglicht es Unternehmen, genau das zu tun.)

Verwaltung und Verstärkung von Passwörtern: Einigen Unternehmen ist es eventuell nicht möglich, RDP hinter SSO zu verlagern. Als absolutes Minimum sollten sie von ihren Mitarbeitern verlangen, stärkere Desktop-Passwörter zu wählen.

Zum Schutz vor Port-basierten Angriffen:

Sperrung von Port 3389: Durch sichere Tunneling-Software können Angreifer daran gehindert werden, Anfragen zu senden, die Port 3389 erreichen. Mit einem sicheren Tunnel (z. B. Cloudflare Tunnel) werden alle Anfragen, die nicht durch den Tunnel gehen, blockiert.

Firewall-Regeln: Es ist theoretisch möglich, eine Firmen-Firewall manuell so zu konfigurieren, dass kein Traffic zu Port 3389 durchkommen kann, mit Ausnahme von Traffic aus IP-Adressbereichen von Genehmigungslisten (z. B. von Geräten, die bekannterweise Mitarbeitern gehören). Diese Methode erfordert jedoch einen hohen manuellen Aufwand und ist immer noch anfällig für Angriffe, wenn Angreifer eine IP-Adresse von einer Genehmigungsliste ergattern oder wenn Geräte von Mitarbeitern kompromittiert werden. Darüber hinaus ist es in der Regel sehr schwierig, alle Mitarbeitergeräte im Voraus zu identifizieren und auf eine Genehmigungsliste zu setzen, was erfahrungsgemäß zu ständigen IT-Anfragen von gesperrten Mitarbeitern führt.

Welche anderen Schwachstellen gibt es bei RDP?

RDP weist weitere Sicherheitslücken auf, die im Prinzip zwar behoben wurden, aber bei einer unzureichenden Kontrolle immer noch schwerwiegend sind.

Eine der massivsten Schwachstellen bei RDP wird als „BlueKeep“ bezeichnet. BlueKeep (offiziell als CVE-2019-0708 klassifiziert) ist eine Sicherheitslücke, die es Angreifern ermöglicht, jeden beliebigen Code auf einem Computer auszuführen, wenn sie eine speziell gestaltete Anfrage an den richtigen Port (normalerweise 3389) senden. BlueKeep ist wurmfähig, d. h. es kann sich ohne jede Aktion von Benutzern auf alle Computer in einem Netzwerk ausbreiten.

Die beste Verteidigung gegen diese Schwachstelle besteht darin, RDP zu deaktivieren, wenn es nicht gebraucht wird. Es kann außerdem helfen, Port 3389 mit einer Firewall zu blockieren. Schließlich hat Microsoft 2019 ein Patch zur Behebung dieser Schwachstelle herausgegeben, das Systemadministratoren unbedingt installieren müssen.

Wie jedes andere Programm oder Protokoll weist auch RDP mehrere andere Schwachstellen auf, von denen die meisten beseitigt werden können, indem immer die allerneueste Version des Protokolls verwendet wird. Anbieter beheben Sicherheitslücken normalerweise in jeder neu veröffentlichen Softwareversion.

Wie hilft Cloudflare, den RDP-Zugriff zu sichern?

Um den RDP-Zugriff zu vereinfachen und zu sichern, hat Cloudflare einen schnellen RDP-Proxy entwickelt, der die Zero Trust-Sicherheitskontrollen unserer SASE-Plattform enthält. Cloudflare bietet jetzt clientlosen, browserbasierten RDP-Zugriff: Es ist keine zusätzliche Infrastruktur und keine zusätzliche Konfiguration auf dem Client-Gerät erforderlich. Erfahren Sie mehr über die SASE-Plattform und den RDP-Zugang von Cloudflare.

FAQs

Was ist das Remote Desktop Protocol (RDP)?

RDP ist ein gängiger technischer Standard, der es ermöglicht, einen Computer von einem anderen Standort aus zu nutzen. Unternehmen verwenden dieses Protokoll häufig, damit Mitarbeitende von zu Hause aus auf ihre Bürocomputer zugreifen können.

Was sind die primären Sicherheitslücken im Zusammenhang mit RDP?

Die beiden größten Risiken sind schwache Anmeldedaten und uneingeschränkter Zugriff auf Port 3389. Da viele Organisationen RDP-Passwörter nicht über zentrale Systeme verwalten, verwenden Nutzer häufig einfache oder wiederverwendete Passwörter, die leicht zu erraten sind. Da RDP Port 3389 nutzt, können Angreifer gezielt diesen Port angreifen, um Attacken durchzuführen oder sich unbefugten Zugriff zu verschaffen.

Was ist die BlueKeep-Schwachstelle?

BlueKeep ist eine kritische Sicherheitslücke, die offiziell als CVE-2019-0708 bezeichnet wird und es Angreifern ermöglicht, nicht autorisierten Code auf einem Computer auszuführen, indem sie eine bestimmte Art von Anfrage an den RDP-Port senden. Diese Schwachstelle ist „wurmfähig“, d. h. sie kann sich automatisch ohne Hilfe eines Benutzers über ein ganzes Netzwerk auf andere Computer ausbreiten.

Wie hilft Single Sign-On (SSO) beim Schutz von Remote-Desktop-Sitzungen?

Durch die Integration von RDP in einen SSO-Dienst können Unternehmen den Remote-Zugriff hinter einen sichereren Anmeldeprozess verlagern. So können Unternehmen strengere Anforderungen an Passwörter durchsetzen und zusätzliche Sicherheitsebenen wie die Zwei-Faktor-Authentifizierung (2FA) implementieren, um die Identität eines Nutzers effektiver zu verifizieren.

Wie können Organisationen Port 3389 vor Angreifern absichern?

Unternehmen können diesen Port schützen, indem sie eine sichere Tunnel-Software einsetzen, die alle Anfragen blockiert, die nicht über einen festgelegten, sicheren Pfad geleitet werden. Eine andere Möglichkeit besteht darin, Firewall-Regeln einzurichten, die nur Traffic von bestimmten, vertrauenswürdigen IP-Adressen zulassen, wobei diese Methode für große Teams unter Umständen schwer zu verwalten ist.

Wie hilft Cloudflare, RDP-Verbindungen zu sichern?

Cloudflare stellt einen schnellen RDP-Proxy bereit, der Zero-Trust-Sicherheitskontrollen auf jede Verbindung anwendet. Durch den Einsatz von Tools wie Cloudflare Access und sicheren Tunneln können Unternehmen ihre RDP-Ressourcen vor dem öffentlichen Internet verbergen und sicherstellen, dass nur authentifizierte Benutzer mit den richtigen Berechtigungen Zugriff erhalten.