Nach einem Angriff oder bei Kenntnis von kompromittierten Zugangsdaten widerrufen Admins Passw\u00f6rter und lassen es neu setzen, damit b\u00f6sartige Akteure sich mit erbeuteten Daten nicht anmelden k\u00f6nnen. Ist der Zugriff mit Remote-Desktop-Protokoll (RDP) aktiviert, hilft das nur nichts: Die alten Passw\u00f6rter bleiben dort g\u00fcltig.<\/p>\n
Von diesem unerwarteten Verhalten berichtet Arstechnica<\/a>. Demnach hat der IT-Sicherheitsforscher Daniel Wade dem Microsoft Security Response Center (MSRC) dieses Verhalten berichtet. Laut ihm funktionieren alte Zugangsdaten in RDP weiterhin, selbst auf brandneuen Maschinen. Neuere Passw\u00f6rter k\u00f6nnen ignoriert werden, w\u00e4hrend \u00e4ltere noch funktionieren. Weder Windows Defender noch Entra ID oder Azure liefern Warnungen. Es gibt keinen eindeutigen Weg f\u00fcr Nutzerinnen und Nutzer, dieses Problem aufzudecken und zu korrigieren. Microsoft dokumentiert dieses Szenario nicht direkt.<\/p>\n Microsoft: „Design-Entscheidung“ trifft Definition von „Schwachstelle“ nicht<\/p>\n Laut Microsoft handelt es sich um eine „Design-Entscheidung, die sicherstellt, dass mindestens ein Nutzerkonto dazu in der Lage ist, sich anzumelden, ganz gleich, wie lange das System offline war“. Daher treffe dieses Verhalten die Definition einer Schwachstelle nicht. Microsoft habe keine Pl\u00e4ne, etwas daran zu \u00e4ndern.<\/p>\n RDP dient dazu, sich aus der Ferne an (Windows-)Maschinen anzumelden, um darauf genauso zu arbeiten wie an einem lokalen Rechner. Dazu leitet die Software die Desktop-Ausgabe auf die entfernte Maschine um. Sofern ein Rechner mit einem Microsoft- oder Azure-Konto den Fernzugriff aktiviert hat, k\u00f6nnen sich Nutzerinnen und Nutzer mit einem Passwort \u00fcber RDP anmelden. Das wird gegen lokal gespeicherte Zugangsdaten abgeglichen. Alternativ k\u00f6nnen sie sich mit dem Online-Konto anmelden, mit dem lokale Nutzer sich an dem PC angemeldet haben.<\/p>\n Allerdings bleibt das Passwort f\u00fcr den Fernzugriff g\u00fcltig, selbst wenn Nutzerinnen und Nutzer es ge\u00e4ndert haben. Im Ergebnis k\u00f6nnen in einigen F\u00e4llen \u00e4ltere Passw\u00f6rter funktionieren und neuere hingegen nicht. Am Ende steht ein persistenter RDP-Zugang, der Cloud-Verifizierung, Mehr-Faktor-Authentifizierung und Zugangskontroll-Richtlinien umgeht. Wade formuliert es in seinem Bericht drastisch: „Das erstellt eine stille, ferne Hintert\u00fcr (Backdoor) in jedem System, auf dem ein Passwort gecacht wurde. Selbst wenn Angreifer niemals Zugang zu dem System hatten, vertraut Windows dem Passwort.“<\/p>\n Problemursache „Credential Caching“<\/p>\n Ursache ist das Zwischenspeichern von Zugangsdaten (Credential Caching). Bei der ersten Anmeldung mit einem Microsoft- oder Azure-Konto validiert RDP das Passwort online. Windows speichert die Zugangsdaten dann kryptografisch gesichert lokal auf dem PC beziehungsweise Notebook. Von dort an pr\u00fcft Windows jedes eingegebene Passwort einer RDP-Sitzung gegen die lokal gespeicherten Zugangsdaten, ohne Online-Pr\u00fcfung. Daher erm\u00f6glichen auch widerrufene Passw\u00f6rter Zugang \u00fcber RDP.<\/p>\n