Wie eine scheinbar harmlose RDP-Verbindung Unternehmen in Sekunden kompromittieren kann
Das Remote Desktop Protocol (RDP) gehört zu den gängigen Werkzeugen für den Fernzugriff auf Windows-Systeme, vor allem in Unternehmensumgebungen. Doch genau diese Verbreitung macht RDP zu einem beliebten Angriffsziel. Mit der Technik „MalRDP“ zeigen Sicherheitsexperten nun, wie Kriminelle in weniger als zwei Sekunden über RDP Zugriff auf Unternehmenssysteme erlangen ohne, dass Nutzer oder Admins davon etwas bemerken.
Tarnung im PowerPoint-Anhang
Die Angriffsserie beginnt oft mit einer scheinbar harmlosen E-Mail samt PowerPoint-Datei im Anhang. In dieser ist eine spezielle RDP-Connector-Datei versteckt, die automatisch eine Verbindung zu einem vom Angreifer kontrollierten Server herstellt. Durch digitale Signaturen lassen sich sogar Warnhinweise unterdrücken, was das Angriffsszenario noch glaubhafter macht.
PyRDP im Einsatz: die Fernsteuerung durch die Hintertür
Die eingesetzte Software „PyRDP“ fungiert als Man-in-the-Middle. Sie schaltet sich zwischen Client und Server, übernimmt die Kommunikation und schleust so unbemerkt Anmeldeinformationen ein. Damit können sich die Angreifer ohne Passwortabfrage verbinden und erhalten ungehinderten Zugang zum Zielsystem.
Datenklau, Schadcode, Autostart, der Ablauf ist automatisiert
Sobald die Verbindung steht, beginnt das eigentliche Auslesen und Infizieren:
- Der Angreifer nutzt die „Local Drive Redirection“, um Dateien auf das Zielsystem zu übertragen.
- Skripte sorgen dafür, dass beim Login automatisch Schadsoftware ausgeführt wird.
- Über manipulierte Autostart-Verknüpfungen wird die Malware bei jedem Neustart erneut aktiv.
Klassische Schutzmaßnahmen greifen nicht
Da der Angriff keine gängigen Indikatoren auslöst, schlagen herkömmliche Sicherheitslösungen oft nicht an. Besonders kritisch: Der sogenannte „Mark of the Web“ wird umgangen, da keine Datei aus dem Internet heruntergeladen, sondern intern verschoben wird. Das macht die Erkennung zusätzlich schwierig.
Unternehmen müssen handeln
Was hilft kurzfristig?
- Blockieren von ausgehenden RDP-Verbindungen
- E-Mails mit .rdp-Dateien im Anhang filtern
- Stärkere Zugangskontrollen bei Remote-Zugriffen
- Einsatz von modernen Lösungen wie Zero Trust Network Access (ZTNA)
Fazit
MalRDP ist kein theoretisches Szenario, es ist bereits Realität. Organisationen, die RDP aktiv nutzen, sollten dringend ihre Sicherheitsrichtlinien überprüfen und moderne Schutzkonzepte wie verhaltensbasierte Überwachung und dynamische Zugriffskontrolle in Betracht ziehen. Denn ein einziger Klick auf eine PowerPoint-Datei kann reichen, um das gesamte Netzwerk zu kompromittieren.
