Ports, Protokolle und Backdoors als potenzielles Einfallstor. Wie sich LDAP, RPC, RDP & Co. schützen lassen.
Seit Jahren sind die weihnachtlichen Feiertage beliebte Anlässe bei Cyberkriminellen für Attacken. Sicherheitsteams im Urlaub, vermehrtes eCommerce-Aufkommen und Jahresend-Stress erhöhen die Erfolgsaussichten.
Zusammenfassung (TL; DR):
- Lightweight Directory Access Protocol (LDAP), Remote Procedure Call (RPC) und Remote Desktop Protocol (RDP) gehören zu den wichtigsten Verbindungselementen im IT-Betrieb. Sie ermöglichen es Benutzern, sich zu verbinden, Administratoren, Geräte zu verwalten, und Diensten, innerhalb der Umgebung zu kommunizieren
- Mit automatisierter, identitätsbewusster Mikrosegmentierung ist es möglich, die Sicherheitslücken zu schließen, die Unternehmen lange Zeit als unvermeidbar hingenommen haben.
Weltweit finden täglich mehr als 600 Millionen Cyberangriffe statt, aber nicht jede Sicherheitsverletzung ist unvermeidbar. Lightweight Directory Access Protocol (LDAP), Remote Procedure Call (RPC) und Remote Desktop Protocol (RDP) gehören zu den wichtigsten Verbindungselementen im IT-Betrieb. Sie ermöglichen es Benutzern, sich zu verbinden, Administratoren, Geräte zu verwalten, und Diensten, innerhalb der Umgebung zu kommunizieren. Aber zu welchem Preis? Unsichere Fernverwaltungsprotokolle und sensible Ports führen zu versteckten Sicherheitslücken im Netzwerk und schaffen eine Hintertür für Angreifer, die Verteidiger seit langem offenlassen müssen. Wie gefährden gängige Ports und Protokolle wie LDAP, RPC und RDP Unternehmen – und wie können diese die Sicherheit verbessern, ohne den Betrieb zu stören.
Konnektivität, Kontrolle und laterale Bewegung: Wie gängige Protokolle Sicherheitsrisiken schaffen
Unternehmensnetzwerke stützen sich in der Regel auf eine Reihe von gängigen Ports für die Authentifizierung, den Fernzugriff und administrative Aktivitäten. Dazu zählen:
- LDAP-Ports 389 oder 636 für Identitätsabfragen und Authentifizierung
- Port 135 und ein dynamischer Bereich von hohen Ports für RPC-Funktionen wie Verwaltungs- und Serviceaufrufe
- RDP-Port 3389 für Fernanmeldungen und Systemadministration
Allerdings ebnen dieselben Protokolle, die die moderne Konnektivität ermöglichen, oft auch laterale, also seitliche Bewegungspfade für Angreifer und sind daher ein häufiger Vektor für Zero-Day-Angriffe. Da Protokolle wie LDAP, RPC und RDP legitime Funktionen bieten, die für den Betrieb unerlässlich sind, bleiben riskante Ports oft standardmäßig offen. Diese ständig aktiven Pfade machen es Angreifern leicht, sich im Netzwerk einzurichten, Berechtigungen zu erweitern und auf sensible Systeme zuzugreifen.
LDAP-Ports und Schwachstellen in der Identitätssicherheit
LDAP interagiert mit dem Active Directory-Schema und wird häufig verwendet, um Informationen über Benutzer und Gruppen abzufragen. LDAP-Ports (389, 636) müssen auf Domain-Controllern offenbleiben, damit die Umgebung funktioniert. Nach dem Erlangen des Netzwerkzugangs steht für Angreifer jedoch in der Regel zunächst die Erkundung auf der Tagesordnung – fast immer ist der Domain-Controller ein Erkundungsziel, da er eine Fülle von Informationen enthält, darunter Konten, Computer, Dienste, Gruppen, DNS-Daten, GPO-Richtlinien, CA-Daten und vieles mehr. Vor diesem Hintergrund ist es leicht nachvollziehbar, warum Angreifer in den letzten Jahren zunehmend Angriffe genutzt haben, die auf unerwarteten oder übermäßig freizügigen LDAP-Operationen beruhen.
Beispiele aus der Praxis: LDAP-Angriffe
In den letzten Jahren gab es einen Anstieg von LDAP-basierten Exploits, darunter:
- LDAPNightmare (CVE-2024-49112 & CVE-2024-49113), eine Schwachstelle zur Remote-Code-Ausführung, die im LDAP-Protokoll selbst gefunden wurde.
- Certified Pre-Owned-Angriffe, bei denen LDAP verwendet wird, um Zertifikatsattribute zu ändern und so die Authentifizierung zu umgehen.
- DACL-basierte Angriffe, bei denen AD-Objekte über LDAP manipuliert werden, um Persistenz zu erlangen oder Berechtigungen zu erweitern.
- BadSuccessor, das Directory Managed Service Accounts (DMSA) nutzt, um Berechtigungen zu erweitern.
In all diesen Beispielen nutzen Angreifer legitime LDAP-Funktionen, um einer Entdeckung zu entgehen, sodass die Verteidiger nur schwer reagieren können.
RPC: Offengelegte Dienste, erweiterte Angriffsfläche
RPC vergrößert die Angriffsfläche eines Unternehmens drastisch, indem es Dienste auf sensiblen Servern wie Domain-Controllern offenlegt. Da Administratoren keine detaillierte Kontrolle über die spezifischen offengelegten RPC-Dienste haben, aktivieren sie häufig den gesamten RPC-Datenverkehr – wodurch effektiv alle RPC-Dienste über das Netzwerk aus der Ferne offengelegt werden.
Mit anderen Worten: Jeder Windows-Host, auf den über das Netzwerk zugegriffen werden kann, bietet einem Angreifer Hunderte von RPC-Funktionen, die er entweder mithilfe gestohlener Anmeldedaten oder einer Schwachstelle ausnutzen kann. Darüber hinaus kann RPC über mehrere Protokolle transportiert und über dynamische Endpunkte offengelegt werden.
Wie Angreifer RPC nutzen
RPC-Kommunikation findet ständig über verschiedene Anwendungen und Dienste hinweg statt, sowohl lokal als auch remote. Aufgrund dieser Verbreitung ist RPC ein so häufiger Bestandteil der Taktiken und Tools, die Angreifer bevorzugen.
Im Großen und Ganzen gehören zu den RPC-Funktionen, die häufig bei Angriffen verwendet werden, unter anderem:
- Remote Scheduled Task, Remote Registry Modification, Remote WMI über WMIC.exe und Remote DCOM für laterale Bewegungen und Remote Code Execution (RCE).
- Remote-Dienst-Erstellung (z. B. verwendet von PsExec.exe) für laterale Bewegung und RCE.
- SharpHound und CornerShot für interne Aufklärung.
- PrintNightmare-Sicherheitslücke, die RCE ermöglicht.
- ZeroLogon-Sicherheitslücke, die eine Erhöhung der Berechtigungen ermöglicht.
- PetitPotam-Angriff, der verschiedene Relay-Angriffe erleichtern kann.
Wichtig ist, dass diese Liste nicht vollständig ist – tatsächlich basieren viele der in den letzten Jahren identifizierten LDAP-basierten Exploits ebenfalls auf RPC.
RDP-Zugriff und Risiken durch laterale Bewegung
Da RDP interaktive Remote-Anmeldungen bei Windows-Rechnern ermöglicht, wird es häufig von Administratoren und hybriden Belegschaften verwendet. Dieses Tool ist zwar für einen reibungslosen Betrieb unerlässlich, kann Unternehmen jedoch auch angreifbar machen.
Angreifer versuchen oft, schwache RDP-Passwörter mit Brute-Force-Angriffen zu knacken oder kaufen kompromittierte Anmeldedaten auf Dark-Web-Marktplätzen. Tatsächlich sind Brute-Force-Angriffe auf RDP-Ports nach wie vor eine der beliebtesten Techniken für den ersten Zugriff – insbesondere bei Ransomware-Angriffen. Sobald die Verbindung hergestellt ist, können Angreifer Sicherheitssoftware deaktivieren, Daten exfiltrieren oder manuell Ransomware einsetzen. In anderen Fällen nutzen Angreifer RDP, um sich als legitime Administratoren auszugeben und von einem Host zum nächsten zu springen, wie dies bei Angriffen wie den Ransomware-Kampagnen SamSam und Conti der Fall war. Trotz dieser Risiken ist das statische Schließen von RDP-Ports für die meisten Unternehmen keine Option, da herkömmliche MFA-Lösungen auf Layer 7 arbeiten, was eine dynamische Sicherung von RDP erschwert.
Best Practices für die Sicherung von RDP, RPC, LDAP und darüber hinaus
Um einige der häufigsten Sicherheitslücken zu schließen und die Cyber-Resilienz insgesamt zu verbessern, sollten Unternehmen einen proaktiven Ansatz verfolgen, der Verteidigern hilft, sich aus dem endlosen Kreislauf von Erkennung und Reaktion zu befreien.
Grob segmentierte Assets und Identitäten
Eine umfassende Mikrosegmentierung ermöglicht es Unternehmen, Bedrohungen einzudämmen, bevor sie sich ausbreiten, und den Schaden einer Sicherheitsverletzung auf das einzelne kompromittierte Asset zu begrenzen. Durch die Anwendung dieses granularen Ansatzes auf Identitäten stellen Verteidiger sicher, dass Hacker immer in eine Sackgasse geraten – selbst wenn sie über kompromittierte Anmeldedaten verfügen.
Just-in-Time (JIT)-MFA auf der Netzwerkebene durchsetzen
Durch die Anwendung von MFA auf privilegierte Ports, Protokolle und Konten wird es für Angreifer viel schwieriger, gängige Schwachstellen in der Netzwerksicherheit auszunutzen. Mit MFA auf Netzwerkebene können Unternehmen sogar Ports wie RDP sichern, indem sie für den Zugriff eine Just-in-Time-Überprüfung verlangen und sie ansonsten standardmäßig schließen.
Ausgehenden Datenverkehr für riskante Protokolle verwalten
Während sich Netzwerksicherheitsstrategien in der Regel auf den Schutz von Ressourcen vor eingehendem Datenverkehr konzentrieren, setzen Angreifer bei ihren jüngsten Exploits zunehmend auf die Kommunikation mit externen Servern. Um sicherzustellen, dass Netzwerke effektiv gegen Zero-Day-Angriffe und andere Angriffe geschützt sind, können Unternehmen mit modernen Mikrosegmentierungslösungen Regeln zum Blockieren des ausgehenden Datenverkehrs für sensible Protokolle wie RDP und RPC erstellen.
Domain-Controller und RPC-Prozesse schützen
Es ist nicht möglich, RPC-Operationen vollständig zu sperren, aber das bedeutet nicht, dass es unmöglich ist, RPC mit präzisen Richtlinien granular zu steuern. Die RPC-Firewall (RPCFW) funktioniert auf der Anwendungsebene und ermöglicht es Sicherheitsteams, den gesamten Kontext von RPC-Aufrufen zu untersuchen und Regeln festzulegen, welche Operationen zugelassen oder blockiert werden sollen, wodurch ~95 % der Angriffsfläche von Domain-Controllern sofort gemindert werden.
Bösartige LDAP-Aktivitäten überprüfen und blockieren
Da LDAP ein integraler Bestandteil von Identitätsoperationen ist, bleibt es intern oft weit offen. Angreifer nutzen dieses Vertrauen für Aufklärungszwecke, DACL-Manipulationen und vieles mehr. Um dem entgegenzuwirken, benötigen Verteidiger sowohl Transparenz als auch robuste Kontrollmöglichkeiten. Wie RPCFW ermöglicht auch die LDAP-Firewall Sicherheitsteams die Konfiguration von Regeln, die LDAP-Anfragen zulassen oder blockieren, indem eingehende LDAP-Vorgänge überprüft werden. Die Konfiguration der LDAP-Firewall zur Verhinderung dieser Angriffe kann in vier Schritten erfolgen: Filtern lokaler LDAP-Aktivitäten, Erfassen böswilliger Remote-Aktivitäten, Erfassen normaler Aktivitäten zur Erstellung einer Baseline und Zusammenführen dieser Erkenntnisse in einer einzigen Konfigurationsdatei.
Sicherheitslage dynamisch anpassen
Statische Regeln können ein dynamisches Netzwerk nicht schützen. Neue Dienste, Integrationen und Geräte verändern ständig die Kommunikationsmuster im Netzwerk und lassen Raum für neue Sicherheitslücken. Durch die Automatisierung der Erstellung und Durchsetzung von Richtlinien können Unternehmen sicherstellen, dass die Netzwerksegmentierung und identitätsbasierte Kontrollen mit den Veränderungen im Netzwerk Schritt halten – ohne Betriebsstörungen zu riskieren.
Proaktive Eindämmung von Sicherheitsverletzungen
Mit automatisierter, identitätsbewusster Mikrosegmentierung ist es möglich, die Sicherheitslücken zu schließen, die Unternehmen lange Zeit als unvermeidbar hingenommen haben. Dies macht es einfacher, Bedrohungen in Echtzeit zu isolieren und zu neutralisieren, proaktive Sicherheitskontrollen aufrechtzuerhalten, ohne den Betrieb zu stören. Ebenso lässt sich Just-in-Time-MFA anwenden, um sicherzustellen, dass privilegierte Ports und Protokolle nur nach Überprüfung geöffnet werden.
