Pressemitteilung von Steve Watts

„Neue Sicherheitsmängel in Microsoft RD Web“

---

---

Viele Unternehmen nutzen Microsoft Remote Desktop Web (RD Web), um ihre Zugriffe auf Web- und Serverressourcen zu verwalten. Als Absicherung wird eine Zwei-Faktor-Authentifizierung (2FA) empfohlen. Diese setzt sich herkömmlicherweise aus den Komponenten Benutzername plus Passwort und einem ergänzenden Passcode zusammen. Zuletzt gab es jedoch in RD Web-Umgebungen vermehrt Vorfälle, bei denen Dritte ohne zusätzlichen Passcode Zugriff auf Webapplikationen erlangten. Wie konnten sie die eigentlich sichere 2FA aushebeln, und wie sollen sich RD Web-Nutzer in Zukunft schützen?

Werfen wir zunächst einen Blick auf den Firmenalltag und darauf, wie eine RD Web-Anmeldung normalerweise abläuft. Als Erstes muss sich ein Nutzer in einem Microsoft RD Web-Interface via 2FA für den Zugriff auf eine Webseite legitimieren. Anschließend folgt eine zweite Authentifizierung, in der Regel via Single Sign On (SSO), um auf den RD Gateway als Haupt-VPN zugreifen zu dürfen. Der RD Gateway empfängt alle remote versendeten Daten von den Remote Desktop Protocol (RDP)-Client-Nutzern. Jetzt kommt der sogenannte RD Connection Broker ins Spiel, der den Nutzer mit einem Backend-RD Session Host verbindet. Danach ist der Applikationszugriff freigeschaltet.

Doch im Zusammenspiel von RD Web und herkömmlichen 2FA-Servern tauchten enorme Sicherheitslücken auf. Grund dafür ist die fehlende Verbindung des 2FA-Servers zum Microsoft RD Gateway-Server. User können problemlos eine Remote Desktop Protocol (RDP)-Datei erstellen oder einen vollen Desktop-Zugriff erreichen, um sich dadurch direkt mit dem RD Gateway zu verbinden - ohne sich zuvor mit RD Web verbinden zu müssen. Dadurch umgehen Dritte die 2FA-Sperre und greifen direkt auf die RD-Webseite und das Gateway zu. Zur Anmeldung muss man hier lediglich seinen Benutzernamen und sein Passwort verwenden. Da der RD Gateway keine herkömmliche, sichere Zwei-Faktor-Authentifizierung unterstützt, stellt dies für Unternehmen und Organisationen ein Sicherheitsrisiko dar.

Wo der Microsoft-Schutz aufhört ...
Um die 2FA-Umgehungstaktiken zu stoppen, wird Firmen empfohlen, einen Windows Logon Agent (2FA) auf jedem RD Session Host zu installieren. Doch dieses eigentliche Sicherheitsplus erzeugt ein weiteres großes Problem: Jeder Backend-RD Session Host erfordert nun eine separate Zwei-Faktor-Authentifizierung. Wenn der Nutzer nun verschiedene Applikationen startet, wird der RD Connection Broker womöglich verschiedene Session Hosts dafür auswählen. Das heißt, Nutzer wären gezwungen, sich bei der täglichen Arbeit unzählige Male via 2FA zu legimitieren, was nicht nur zu frustrierten Gesichtern, sondern auch zu langsamen Arbeitsabläufen führen wird. Zudem ist dies ein schlechtes Security-Konzept, weil versucht wird, alle internen Türen zu schließen, während die Haustür die ganze Zeit offensteht.

SecurEnvoy (http://www.securenvoy.de/products/securaccess/) liefert als erster 2FA-Anbieter eine richtige RD Gateway-Integration. Somit bietet man die einzige Lösung, die die Sicherheit der 2FA wiederherstellt und die genannten Probleme mit Microsoft RD Gateways überwindet. Installieren Firmen die SecurEnvoy-Lösung im RD Web und auf den Gateways, wird die gesamte Kommunikation über RD Web und den RD Gateway geroutet und gleichzeitig vom SecurEnvoy-Agent kontrolliert. Dies gelingt, weil die SecurEnvoy-Lösung nun direkt mit dem RD Gateway- und Active Directory-Server verbunden ist und die Sicherheitsmechanismen im ganzen System greifen können. Dadurch ist jeder Anwender in der Lage, die 2FA wieder für alle Remote Desktop Web-Sitzungen (Sessions) uneingeschränkt zu nutzen. Das System ist jetzt zu 100 % abgesichert und kann zu keiner Zeit mit einem herkömmlichen Anmeldevorgang (Benutzername plus Passwort) umgangen werden. Firmen- & Pressekontakt