RDP-Verbindung (ausgehend) als Sicherheitsrisiko?

[wznutzer 36]

Guten Tag,

 

leider muss ich mal ein wenig die Ahnungslosigkeit raushängen lassen.

 

Ich stelle eine RDP-Verbindung von Rechner "A" zu Rechner "B" her. Gibt es ein Risiko, dass Rechner "A" in irgendeiner Weise kompromittiert werden könne, wenn auf Rechner "B" eine Malware laufen würde? Ich meine jetzt nicht die Sicherheitslücke, die noch nicht gepatcht ist. Der Admin eines bekannten Unternehmens meinte, dass er aus genau diesem Grund nur TeamViewer verwendet. Tatsächlich bin ich bisher davon ausgegangen, dass da nichts passieren kann, wenn ich z. B. von den lokalen Ressourcen nur die Zwischenablage "mitnehme". Klar, dann landen alle Informationen aus genau dieser beim Remote-PC oder umgekehrt, aber auch das könnte man abschalten.

 

Ich meine auch nicht, dass die Anmeldeinformationen des Accounts dann leicht mit mimikatz & Co. ausgelesen werden können und solche Dinge. Da würde dann ja der Restricted Admin Mode oder Credential Guard helfen. Ich meine, ob es derzeit ein bekanntes Risiko gibt, dass der die Verbindung initiierende Rechner einem Risiko bei einer RDP-Verbindung ausgesetzt ist.

 

Danke und Grüße

[Dukel 461]

Ein Risiko gibt es _immer_. Aber auch bei Teamviewer!

[wznutzer 36]

vor 18 Minuten schrieb Dukel:

Ein Risiko gibt es _immer_.

Meinst Du das pauschal, weil es ja auch keine 100%-Sicherheit gibt, oder ein konkretes Szenario? Eine Antwort zur Sicherheit gibt es ja immer nur in Verbindung mit der Frage "Sicherheit, wovor?"

[Dukel 461]

Ja pauschal. Es gibt schon ab und an Meldungen über Sicherheitslücken im RDP Protokoll oder in Teamviewer.

Ob es heute offene Lücken gibt bin ich zu Faul nachzuschauen.

[NorbertFe 2.167]

vor 2 Stunden schrieb wznutzer:

Der Admin eines bekannten Unternehmens meinte, dass er aus genau diesem Grund nur TeamViewer verwendet

Weil Teamviewer ja noch nie nie nie Sicherheitsprobleme hatte.  :)

 

[mwiederkehr 389]

RDP ist ein komplexes Protokoll und bietet viele Angriffsmöglichkeiten. Nicht nur auf das Protokoll zur Bildübertragung, sondern auch auf die umgeleiteten Drucker (XPS-Interpreter), Laufwerke, Zwischenablage etc.

 

Die Zusatzfunktionen lassen sich aber abschalten. Die einzigen mir bekannten Schwachstellen beziehen sich auf die Zwischenablage. Der Server kann die Zwischenablage des Clients mitlesen und verändern. Wenn man "harmlose.exe" in der Zwischenablage hat, könnte sie durch "virus.exe" ersetzt werden, siehe https://research.checkpoint.com/2019/reverse-rdp-attack-code-execution-on-rdp-clients/.

 

Zudem gab es eine Lücke, die Codeausführung erlaubt hat: https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2019-0887

 

Also ja, ist theoretisch möglich, aber sehr unwahrscheinlich, besonders wenn Zwischenablage etc. ausgeschaltet sind. Für TeamViewer gilt das genauso.

 

Wer will, kann Guacamole in einer VM laufen lassen und einen Browser in einer anderen VM und über die Hyper-V-Konsole auf den Browser zugreifen. Galvanische Trennung quasi.

[wznutzer 36]

vor 52 Minuten schrieb mwiederkehr:

https://research.checkpoint.com/2019/reverse-rdp-attack-code-execution-on-rdp-clients/.

Zitat

If a client uses the “Copy & Paste” feature over an RDP connection, a malicious RDP server can transparently drop arbitrary files to arbitrary file locations on the client’s computer, limited only by the permissions of the client. For example, we can drop malicious scripts to the client’s “Startup” folder, and after a reboot they will be executed on his computer, giving us full control.

Wow, was es alles gibt.

 

Wenn man jetzt daraus etwas lernen will, schaltet man alles ab und wenn das nicht möglich ist, müsste man sich zu "kritischen" RDP-Servern von von separaten VMs aus verbinden zu denen man dann wiederum nichts von den RDP-Optionen aktiv hat.

 

Alles kompliziert heutzutage.

[mwiederkehr 389]

vor 37 Minuten schrieb wznutzer:

Alles kompliziert heutzutage.

Allerdings, denn man muss ja noch arbeiten können. Ich habe einen Kunden, bei dem ich ohne Zwischenablage auskommen muss. Zum Einfügen nutze ich ein Tool, welches den Text in der Zwischenablage "eintippt", aber bei grösseren SQL-Scripts dauert das...

[MurdocX 965]

vor 2 Stunden schrieb wznutzer:

Wow, was es alles gibt.

Jep. 

 

Ich hatte mal eine coole Variante eines Protocol-Abuse gelesen. Die Pentester kamen in der isolierten Umgebung an nichts heran und konnte Ihre Tools nicht nachladen. Dann wurden sie kreativ und haben ihre Tools via PING ins Unternehmen geschleust. 

[NorbertFe 2.167]

Ping oder DNS? 

[daabm 1.387]

Ping geht auch. Brauchst nur nen passenden Listener, ein Ping-Paket kann groß sein.

 

Am 27.2.2025 um 16:47 schrieb wznutzer:

müsste man sich zu "kritischen" RDP-Servern von von separaten VMs aus verbinden

 

Du hast grad das Prinzip der PAW entdeckt  

[NorbertFe 2.167]

vor 5 Minuten schrieb daabm:

Ping geht auch. Brauchst nur nen passenden Listener, ein Ping-Paket kann groß sein.

OK, wobei ping seltener ins Internet erlaubt ist als DNS. Im Zweifel liefert dir sogar der DC mit seinem DNS den Schadcode (gibt genug DCs die externe Namensauflösung machen). Irgendwo hab ich das mal in einer Vorführung gesehen. Kann mich nur nicht mehr dran erinnern wo.

[wznutzer 36]

Am 28.2.2025 um 18:28 schrieb daabm:

Du hast grad das Prinzip der PAW entdeckt  

Entdeckt nicht gerade, das versuche ich schon seit längerem umzusetzen. Aber ich lerne dazu was es so alles gibt. Deswegen unterhalte ich mich doch so gerne hier.