LOL! Aber auch die Zwischenablage kann problemlatisch sein. Falls etwas kritisches in der Zwischenablage ist (Passwörter oder so). Aber natürlich weitaus weniger schlimm als direkter Dateisystemzugriff 😅
Also ich finde das durchaus komisch, dass einem jemand RDP Files zuschickt, und man diese dann einfach öffnet. So ganz nachvollziehen kann ich das nicht.
Tipp 1: Keine fremden RDP Dateien öffnen. Tipp 2: Kein Windows nutzen ;) Tipp 3: Falls möglich, andere Remote Software nutzen. edit Tipp 4: das Ausführen von PowerShell Skripten (als Datei) deaktivieren, wenn sie nicht genutzt werden. (Falls das Skript mal auf den Client Rechner gestartet wird)
1-3 hilft glaube ich eher bei IT-Pros. Aber besser als nichts :) Und wo du den 4. Tipp erwähnt hast: diese Angriffsmethode könnte ja auch schnell wurmartig sein, wenn das Angriffstool sich wirklich auf die RDP Clients kopiert. Uff! Wobei der Angriff natürlich auch problemlos mit Batch oder einem .exe Programm möglich wäre. PowerShell ist nur mein Mittel der Wahl 😁
Tut mir leid, aber Tipp 4 bringt gar nix, weil das läuft ja auf dem Server. Tipp 2 ist auch nur in dem fall wirksam, weil jedes System hat eigene Möglichkeiten zum Angriff ;)... Gleiches gilt für Tipp 3, auch die andere Fernsteuerungsprogramme haben ihre Fehler ;)... TIpp 1 kann ich aber unterstreichen und erweitern: generell keine fremden Dateien ohne Hirn anzuschalten öffnen :)
Hallo, danke 🙏schon mal. War wieder sehr nützlich. Aber wie kommt man nur immer auf solche böse Systemlücken. Ich denke ich werde mal per Systemeinstellung den .RDP file type schon mal vorsorglich eliminieren und hoffe dass Windows dann schon mal nichts mehr damit anfangen kann. Fernsteuerung findet bei mir Lokal eh per UVNC statt.
Nein, so würde ich es nicht sagen. Ein Payload bezeichnet den Teil eines Schadprogramms oder einer Malware, der die eigentliche schädliche Aktion ausführt, nachdem das System eines Opfers infiltriert wurde. Es handelt sich also um die "Nutzlast" oder den "aktiven Teil" der Schadsoftware.
Jo, das Problem wurde schon vor Jahren erkannt. Aber es ist gerade mal wieder aktuell geworden. Weißt du zufällig wann es das erste Mal öffentlich gemacht wurde? Ich hatte Infos von vor 5-7 Jahren gefunden, aber eigentlich müsste es noch älteres geben 🤔
Ich habe tatsächlich diesen Monat das erste Mal eine legitime .rdp-Datei erhalten. Aber normal finde ich das auch nicht. Also am E-Mail System .RDP Dateianhänge blockieren würde bei den meisten Organisationen wahrscheinlich keine Kopfschmerzen bereiten.
Ich bin ehrlich gesagt bisschen überrascht, dass du denkst, dass dein Rechner bei einer Fernsteuerungsoftware völlig safe sei. Immer wenn du eine Anwendung startest, die per Netzwerk mit andweren kommuniziert und Daten austauscht, bist du generell in Gefahr, völlig egal was für eine Art von Anwendung das ist. Denn wenn deine lokale Software Daten aus dem Internet z.B. bekommt und auswertet, kann es bei der Auswertung zu internen Fehlern kommen, wo also die Software (die ja als dein aktiver User läuft) in einen ungewollten Zustand kommt, und so z.B: Code eingeschleust wird, der dann als aktueller User ausgeführt wird. Also da bitte auf jeden Fall immer beachten ;)... Aber ja, ein Server kann per \\TSCLIENT-Freigabe auf das Dateisystem des Clients zugreifen, wenn die RDP-Datei also das aktiviert, dann ist das der Fall. Aber: du wirst ja tatsächlich gefragt, ob du dem vertraust, also die Warnung war schon zumindest mal da ;)...
Ich habe nie gesagt, dass ich gedacht habe, mein Rechner sei bei Verwendung einer Fernsteuerungssoftware *völlig safe* . Ich habe gesagt, dass ich *ein bisschen* dachte, dass mein Rechner (Client) bei Verwendung von RDP sicher sei. Im Video habe ich das nicht noch weiter ausgeführt, aber das war meine frühere unreflektierte Sichtweise zu RDP. Ich habe mir da einfach nicht aktiv Gedanken zu gemacht, weil ich RDP vorallem für Fernsteuerungen verwendet habe und die Zusatzfunktionen wie Laufwerksumleitungen nicht genutzt habe. Und auch .rdp Dateien habe ich quasi nie benutzt, weil ich mich normalerweise direkt mit Systemen verbunden habe (kein RD-Gateway). Bei anderen Fernwartungstools wie z.B. Teamviewer habe ich auch schon zuvor ein erhöhtes Risiko gesehen, insbesondere wegen den Funktionen für Dateiaustausch und Richtungswechsel. Und: Mittlerweile sehe ich das natürlich kritischer :)
Das macht Sinn, ja. Als ich einen Windows Server 2022 als RDP Client verwendet habe, wurde ich ja sogar gewarnt. Keine Ahnung, wieso an einem Windows 11 System keine Warnung kommt. Habe es auch mehrfach probiert. Aber selbst wenn da gewarnt wird: Es können auch andere Daten entwendet oder manipuliert werden. Eventuell könnten auch .exe Dateien von Programmen im Benutzerprofil ersetzt werden. Beispielsweise Google Chrome, Microsoft Teams oder OneDrive werden gerne im Benutzerprofil installiert und könnten so wohl auch durch Schadsoftware ersetzt werden.
@@diecknet Mal angenommen der RDP Server erstellt bzw. erzeugt eine Datei auf dem RDP-Client. Welcher Benutzer ist da im lokalen NTFS als "Ersteller" vermerkt?
interessant & nützlich, lustige Visualisierungen 😈 Danke
Danke 😈
Die guten alten RDP Files. Werden gleich Vietnam-Flashbacks aktiv ^^
Bei uns gibts nur die Zwischenablage, mehr nicht.
LOL! Aber auch die Zwischenablage kann problemlatisch sein. Falls etwas kritisches in der Zwischenablage ist (Passwörter oder so). Aber natürlich weitaus weniger schlimm als direkter Dateisystemzugriff 😅
Spannend 😮
Danke!
Also ich finde das durchaus komisch, dass einem jemand RDP Files zuschickt, und man diese dann einfach öffnet. So ganz nachvollziehen kann ich das nicht.
Ein wenig komisch, ja. Aber wenn die Leute durch Social Engineering beeinflusst werden, ist vieles möglich :/
Danke für den Tipp
Gerne :)
Tipp 1: Keine fremden RDP Dateien öffnen.
Tipp 2: Kein Windows nutzen ;)
Tipp 3: Falls möglich, andere Remote Software nutzen.
edit
Tipp 4: das Ausführen von PowerShell Skripten (als Datei) deaktivieren, wenn sie nicht genutzt werden. (Falls das Skript mal auf den Client Rechner gestartet wird)
1-3 hilft glaube ich eher bei IT-Pros. Aber besser als nichts :)
Und wo du den 4. Tipp erwähnt hast: diese Angriffsmethode könnte ja auch schnell wurmartig sein, wenn das Angriffstool sich wirklich auf die RDP Clients kopiert. Uff! Wobei der Angriff natürlich auch problemlos mit Batch oder einem .exe Programm möglich wäre. PowerShell ist nur mein Mittel der Wahl 😁
@@diecknet Stimmt auch wieder. Dann müsste man ja alles verbieten :D
Tut mir leid, aber Tipp 4 bringt gar nix, weil das läuft ja auf dem Server. Tipp 2 ist auch nur in dem fall wirksam, weil jedes System hat eigene Möglichkeiten zum Angriff ;)... Gleiches gilt für Tipp 3, auch die andere Fernsteuerungsprogramme haben ihre Fehler ;)... TIpp 1 kann ich aber unterstreichen und erweitern: generell keine fremden Dateien ohne Hirn anzuschalten öffnen :)
Über RedHat Linux ist das fürs Unternehmen zumindest kein Thema, aber die meisten haben privat Windows drauf, somit natürlich anfällig dafür.
Cool! Ja, stimmt einfach kein Windows benutzen hilft natürlich 😃
@@diecknet Wie so oft
Hallo, danke 🙏schon mal. War wieder sehr nützlich. Aber wie kommt man nur immer auf solche böse Systemlücken. Ich denke ich werde mal per Systemeinstellung den .RDP file type schon mal vorsorglich eliminieren und hoffe dass Windows dann schon mal nichts mehr damit anfangen kann. Fernsteuerung findet bei mir Lokal eh per UVNC statt.
VNC ist ja meist unverschlüsselt im Standard... Ich hoffe es ist bei dir sicher eingerichtet 😰
Also ist ein "payload", schlicht eine verknüpfung ?
Nein, so würde ich es nicht sagen. Ein Payload bezeichnet den Teil eines Schadprogramms oder einer Malware, der die eigentliche schädliche Aktion ausführt, nachdem das System eines Opfers infiltriert wurde. Es handelt sich also um die "Nutzlast" oder den "aktiven Teil" der Schadsoftware.
Alter Hut 🎉🎉🎉🎉 wer war noch mal die Gruppe, die das herausgefunden hat? Es waren Beamte😂😂😂😂😂😂😂😂😂😂😂😂😂😂😂😂😂😂😂
Jo, das Problem wurde schon vor Jahren erkannt. Aber es ist gerade mal wieder aktuell geworden.
Weißt du zufällig wann es das erste Mal öffentlich gemacht wurde? Ich hatte Infos von vor 5-7 Jahren gefunden, aber eigentlich müsste es noch älteres geben 🤔
In welchem Anwendungsfall bekommt man denn eine RDP-Datei zugeschickt?
Ich habe tatsächlich diesen Monat das erste Mal eine legitime .rdp-Datei erhalten. Aber normal finde ich das auch nicht. Also am E-Mail System .RDP Dateianhänge blockieren würde bei den meisten Organisationen wahrscheinlich keine Kopfschmerzen bereiten.
Per Email als Anhang oder als Download Link in der Mail oder in einem zip. Dazu eine Aufforderung, das „Bild“ zu öffnen
Ich bin ehrlich gesagt bisschen überrascht, dass du denkst, dass dein Rechner bei einer Fernsteuerungsoftware völlig safe sei. Immer wenn du eine Anwendung startest, die per Netzwerk mit andweren kommuniziert und Daten austauscht, bist du generell in Gefahr, völlig egal was für eine Art von Anwendung das ist. Denn wenn deine lokale Software Daten aus dem Internet z.B. bekommt und auswertet, kann es bei der Auswertung zu internen Fehlern kommen, wo also die Software (die ja als dein aktiver User läuft) in einen ungewollten Zustand kommt, und so z.B: Code eingeschleust wird, der dann als aktueller User ausgeführt wird. Also da bitte auf jeden Fall immer beachten ;)...
Aber ja, ein Server kann per \\TSCLIENT-Freigabe auf das Dateisystem des Clients zugreifen, wenn die RDP-Datei also das aktiviert, dann ist das der Fall. Aber: du wirst ja tatsächlich gefragt, ob du dem vertraust, also die Warnung war schon zumindest mal da ;)...
Ich habe nie gesagt, dass ich gedacht habe, mein Rechner sei bei Verwendung einer Fernsteuerungssoftware *völlig safe* . Ich habe gesagt, dass ich *ein bisschen* dachte, dass mein Rechner (Client) bei Verwendung von RDP sicher sei. Im Video habe ich das nicht noch weiter ausgeführt, aber das war meine frühere unreflektierte Sichtweise zu RDP. Ich habe mir da einfach nicht aktiv Gedanken zu gemacht, weil ich RDP vorallem für Fernsteuerungen verwendet habe und die Zusatzfunktionen wie Laufwerksumleitungen nicht genutzt habe. Und auch .rdp Dateien habe ich quasi nie benutzt, weil ich mich normalerweise direkt mit Systemen verbunden habe (kein RD-Gateway).
Bei anderen Fernwartungstools wie z.B. Teamviewer habe ich auch schon zuvor ein erhöhtes Risiko gesehen, insbesondere wegen den Funktionen für Dateiaustausch und Richtungswechsel.
Und: Mittlerweile sehe ich das natürlich kritischer :)
Sh ist besser wie oft denn noch aber auf windows ist es unsicher sh
Meinst du SSH?
RDP NUR über VPN machen
Das schützt leider nicht vor bösartigen RDP *Servern* :/
Macht es nicht Sinn, dafür zu sorgen, dass nichts in den Autostart geschrieben werden darf? Vielleicht per NTFS?
Das macht Sinn, ja. Als ich einen Windows Server 2022 als RDP Client verwendet habe, wurde ich ja sogar gewarnt. Keine Ahnung, wieso an einem Windows 11 System keine Warnung kommt. Habe es auch mehrfach probiert.
Aber selbst wenn da gewarnt wird: Es können auch andere Daten entwendet oder manipuliert werden. Eventuell könnten auch .exe Dateien von Programmen im Benutzerprofil ersetzt werden. Beispielsweise Google Chrome, Microsoft Teams oder OneDrive werden gerne im Benutzerprofil installiert und könnten so wohl auch durch Schadsoftware ersetzt werden.
@@diecknet Mal angenommen der RDP Server erstellt bzw. erzeugt eine Datei auf dem RDP-Client. Welcher Benutzer ist da im lokalen NTFS als "Ersteller" vermerkt?
@Soku-Links da steht dann der lokale User vom Client drin. Also da wird *nicht* die SID vom User vom RDP Host genommen oder ähnliches.
@@Soku-Links bringt ja so viel nicht rootkits
Wer verwendet bitte Windows???
Immer noch zu viele Menschen.
Ist verbreitet in vielen Firmen 😵💫
Der Bund die Bundesländer die Europäische Union.