Mirosoft macht mal wieder typische Microsoft Dinge. Eine Passwörtänderung bewirkt bei Microsoft Konten bei RDP-Einwahlen genau nichts. Vorbei an Online-Prüfungen, zweiten Faktoren und Gruppenrichtlinien hat Microsoft seit Jahren heimlich und undokumentiert entschieden, dass alte Passwörter weiterhin für RDP-Anmeldungen akzeptiert werden, selbst wenn diese längst ersetzt wurden.1 Entscheidend für das “Credential Caching” ist die Erstanmeldung an einem System mit dem Microsoft- oder Azure-Konto. Bei dieser Online-Erstvalidierung wird quasi ein dauerhafter Zugang eingerichtet. Man nennt sowas auch Backdoor.2 Read more

Immer wenn ich im offiziellen Auftrag Windows-Systeme hacken darf, steht ein Ordner ganz oben auf meiner “zu untersuchen” Liste. Praktisch überall, wo Remote-Desktop oder Remote-Apps zum Einsatz kommen, wird die Brisanz von angesammelten Cache-Daten auf den verbindenden Clients unterschätzt. Im Profil eines Benutzers unter %APPDATALOCAL%\Microsoft\Terminal Server Client\Cache bzw. C:\Users(Benutzername)\AppData\Local\Microsoft\Terminal Server Client\Cache finden sich die begehrten Überbleibsel einer RDP-Sitzung. Die von einem Terminalserver übermittelten Bildschirminhalte sind hier in Gestalt von .bmc und .bin Dateien zu finden. Die Dateien sind durchnummeriert und repräsentieren Farbtiefen und Indexpositionen, die uns nicht weiter zu interessieren brauchen. Wichtiger ist das in Python geschriebene bmc-tools1, welches jedem mit Zugriff auf diese Daten Einblick auf den Bildschirm eines Anwenders gewährt, meist rückwirkend auf längst vergangene RDP-Sitzungen. Read more

Wer dachte, das fiese Jahr 2021 sei vorbei und Printnightmare vergangen, der hat nicht mit dem Potential von Microsoft gerechnet. Eine neue Sicherheitslücke betrifft alle RDP/RDS-Terminaldienste seit mindestens Windows Server 2008. Jeder kann unprivilegiert ohne viel Aufwand bei anderen in eine Sitzung eingreifen, in die Zwischenablage schauen und auf Dateien und Laufwerke bis hinunter auf die remote verbundenen Client-PCs zugreifen. Freigegebenen Ordner oder USB-Geräte wie z.B. Smartcard-Lesegeräte sind ebenfalls zugänglich. Read more