Aus der Abteilung „Kopfzerbrechen“ kommt diese kontraintuitive Nachricht: Microsoft gibt bekannt, dass es keine Pläne gibt, ein Remote-Anmeldeprotokoll in Windows zu ändern, das es Nutzern ermöglicht, sich mit gesperrten Passwörtern an Computern anzumelden.
Das Ändern des Passworts gehört zu den ersten Maßnahmen, die Nutzer ergreifen sollten, wenn ein Passwort offengelegt wurde oder ein Konto kompromittiert wurde. Nutzer erwarten, dass nach dieser Maßnahme kein Zugriff mehr auf Geräte möglich ist, die dieses Passwort verwenden.
Nicht nur ein Bug
Das Remote Desktop Protocol – der in Windows integrierte proprietäre Mechanismus, mit dem sich ein Remote-Benutzer an einem Computer anmelden und diesen steuern kann, als säße er direkt davor – vertraut jedoch in vielen Fällen auch nach einer Änderung des Passworts weiterhin diesem Passwort. Microsoft erklärt, dass dieses Verhalten eine Designentscheidung ist, um sicherzustellen, dass Benutzer niemals ausgesperrt werden.
Der unabhängige Sicherheitsforscher Daniel Wade meldete dieses Verhalten Anfang des Monats an das Microsoft Security Response Center. In seinem Bericht lieferte er eine Schritt-für-Schritt-Anleitung zur Reproduktion des Verhaltens. Er warnte außerdem, dass dieses Design den fast universellen Erwartungen widerspricht, dass ein Passwort nach seiner Änderung keinen Zugriff mehr auf damit verbundene Geräte oder Konten gewähren sollte.
„Das ist nicht nur ein Fehler. Das ist ein Vertrauensbruch“, schrieb Wade in seinem Bericht. ‚Die Menschen vertrauen darauf, dass die Änderung ihres Passworts unbefugten Zugriff verhindert.‘ Er fuhr fort:
Das ist das Erste, was jeder tut, wenn er einen Sicherheitsverstoß vermutet. Und dennoch:
- Alte Anmeldedaten funktionieren weiterhin für RDP – sogar auf brandneuen Rechnern.
- Defender, Entra ID und Azure melden keinen Fehler.
- Es gibt keine eindeutige Möglichkeit für Endbenutzer, das Problem zu erkennen oder zu beheben.
- In der Microsoft-Dokumentation oder den Anleitungen wird dieses Szenario nicht direkt behandelt.
- Selbst neuere Passwörter können ignoriert werden, während ältere weiterhin funktionieren.
Das Ergebnis? Millionen von Benutzern – zu Hause, in kleinen Unternehmen oder in hybriden Arbeitsumgebungen – sind unwissentlich gefährdet.
Microsoft erklärte dazu, dass es sich um eine „Entscheidung der Entwickler handelt, um sicherzustellen, dass mindestens ein Benutzerkonto immer die Möglichkeit hat, sich anzumelden, unabhängig davon, wie lange ein System offline war“. Daher entspricht dieses Verhalten laut Microsoft nicht der Definition einer Sicherheitslücke, und die Ingenieure des Unternehmens haben keine Pläne, dies zu ändern.
Die Möglichkeit, sich mit einem widerrufenen Passwort über RDP anzumelden, besteht, wenn ein Windows-Computer, der mit einem Microsoft- oder Azure-Konto angemeldet ist, für den Remote-Desktop-Zugriff konfiguriert ist. In diesem Fall können sich Benutzer über RDP mit einem dedizierten Passwort anmelden, das anhand einer lokal gespeicherten Anmeldeinformation überprüft wird. Alternativ können sich Benutzer mit den Anmeldeinformationen für das Online-Konto anmelden, das für die Anmeldung am Computer verwendet wurde.
Selbst nachdem Benutzer ihr Kontopasswort geändert haben, bleibt es für RDP-Anmeldungen auf unbestimmte Zeit gültig. In einigen Fällen, so Wade, funktionieren mehrere ältere Passwörter, während neuere nicht funktionieren. Das Ergebnis: ein dauerhafter RDP-Zugriff, der die Cloud-Überprüfung, die mehrstufige Authentifizierung und die Richtlinien für bedingten Zugriff umgeht.
Wade und ein weiterer Experte für Windows-Sicherheit sagten, dass dieses wenig bekannte Verhalten in Szenarien, in denen ein Microsoft- oder Azure-Konto kompromittiert wurde, beispielsweise wenn die Passwörter dafür öffentlich bekannt geworden sind, kostspielige Folgen haben könnte. In einem solchen Fall besteht die erste Maßnahme darin, das Passwort zu ändern, um zu verhindern, dass ein Angreifer es für den Zugriff auf sensible Ressourcen verwendet. Die Passwortänderung verhindert zwar, dass sich der Angreifer beim Microsoft- oder Azure-Konto anmeldet, aber mit dem alten Passwort hat er über RDP weiterhin uneingeschränkten Zugriff auf den Computer des Benutzers.
„Dadurch entsteht eine stille Remote-Hintertür in jedem System, in dem das Passwort jemals zwischengespeichert wurde“, schrieb Wade in seinem Bericht. „Selbst wenn der Angreifer nie Zugriff auf dieses System hatte, vertraut Windows dem Passwort weiterhin.“
Will Dormann, Senior Vulnerability Analyst bei der Sicherheitsfirma Analygence, stimmt dem zu.
„Aus Sicherheitsperspektive macht das keinen Sinn“, schrieb er in einem Online-Interview. „Als Systemadministrator würde ich erwarten, dass die alten Anmeldedaten eines Kontos nach dem Ändern des Passworts nirgendwo mehr verwendet werden können. Das ist aber nicht der Fall.“
Das Zwischenspeichern von Anmeldedaten ist ein Problem
Der Mechanismus, der all dies ermöglicht, ist das Zwischenspeichern von Anmeldedaten auf der Festplatte des lokalen Computers. Wenn sich ein Benutzer zum ersten Mal mit den Anmeldedaten eines Microsoft- oder Azure-Kontos anmeldet, überprüft RDP online die Gültigkeit des Passworts. Windows speichert die Anmeldedaten dann in einem kryptografisch gesicherten Format auf dem lokalen Computer. Von diesem Zeitpunkt an überprüft Windows jedes Passwort, das bei einer RDP-Anmeldung eingegeben wird, indem es es mit den lokal gespeicherten Anmeldedaten vergleicht, ohne online nachzuschlagen. Dadurch ermöglicht das widerrufene Passwort weiterhin den Fernzugriff über RDP.
In seiner Antwort auf den Bericht von Wade erklärte Microsoft, dass es die Online-Dokumentation hier aktualisiert habe, um die Benutzer besser über dieses Verhalten zu informieren. Die Aktualisierung enthält die folgenden Sätze:
Achtung
Wenn ein Benutzer sich lokal anmeldet, werden seine Anmeldeinformationen lokal mit einer zwischengespeicherten Kopie verglichen, bevor sie über das Netzwerk bei einem Identitätsanbieter authentifiziert werden. Wenn die Cache-Überprüfung erfolgreich ist, erhält der Benutzer Zugriff auf den Desktop, auch wenn das Gerät offline ist. Wenn der Benutzer jedoch sein Passwort in der Cloud ändert, wird der zwischengespeicherte Verifizierer nicht aktualisiert, sodass er weiterhin mit seinem alten Passwort auf seinen lokalen Computer zugreifen kann.
Dormann sagte, dass das Update für die meisten Administratoren nicht leicht zu erkennen und nicht eindeutig genug sei. Das Update informiert die Benutzer auch nicht darüber, welche Schritte sie unternehmen sollten, um RDP zu sperren, falls ihr Microsoft- oder Azure-Konto kompromittiert wird. Dormann sagte, die einzige Maßnahme sei, RDP so zu konfigurieren, dass die Authentifizierung nur anhand lokal gespeicherter Anmeldedaten erfolgt.
Ein Sprecher von Microsoft erklärte, das Unternehmen werde „sich melden, wenn Microsoft etwas mitzuteilen hat“. Es folgte jedoch keine weitere Rückmeldung.
Microsoft teilte Wade mit, dass er nicht der Erste sei, der dieses Verhalten als Sicherheitslücke gemeldet habe, was darauf hindeute, dass die Sicherheitsingenieure des Unternehmens seit fast zwei Jahren von diesem Verhalten wüssten.
„Wir haben festgestellt, dass dieses Problem bereits im August 2023 von einem anderen Forscher gemeldet wurde, sodass dieser Fall nicht für eine Prämie in Frage kommt“, teilten Mitarbeiter des Unternehmens Wade mit. “Wir haben ursprünglich eine Codeänderung für dieses Problem in Betracht gezogen, aber nach weiterer Prüfung der Designdokumentation könnten Änderungen am Code die Kompatibilität mit Funktionen beeinträchtigen, die von vielen Anwendungen genutzt werden.“