Trending News: LinkedIn: Vom Karrierenetzwerk zur Datenkrake der USA und Israel?Identitäten stehlen mal anders – Lateral Movement mit Windows BoardmittelnCyber Security Experten und das ProgrammierenDie Welt taumeltAktuelle KI-Mythen im IT BusinessDie Cloud im Wandel der ZeitDSGVO – Ohne Verordnungen nach Europa verkaufen, geht das?Die Achillesferse der digitalen Welt: Warum eine europäische Datenstrategie überfällig istPreisfallen durch Mehrfachlistungen – eine kritische Erfahrung mit der Firma DigitecCorporate-Logos per Copy-Paste? Kein Kläger, Kein Richter!Wurde Die Firma Oracle gehackt? (März 2025)The Hype „Prompt Engineer“ is overA.I. – Das neue geopolitische Machinstrument?Die lokale Installation von LLMs – So privat ist inzwischen AIIT’S OVER – WAS GENAU DENN?Flughafenprojekt Indien der FZAG: Verzögerungen, Widersprüche und fehlende TransparenzDas Jewar Projekt der Flughafen Zürich AG – Ein „Moving Target“ Abenteuer?Weihnachtszeit ohne Konsumdruck – Eine alternative SichtweiseThe Brain Pollution – Das kognitive CO², das unser Kopfklima wandeltGoogle Play Store checkt Nutzung von AppsIsraelische Firma liefert Cybersicherheit für türkisches Militär und MinisterienA vendor experiences a data breach. How do you protect sensitive information?ARCHIVE.ORG DOWNErinnerungen aus Matrix (Teil 2)Erinnerungen aus Matrix (Teil 1)Schweiz an 12ter Stelle des Global AI Index 2024AGI is closer than you think…?Die ING Bank setzt auf künstliche IntelligenzTentakel gewissenloser HypokritenWenn SPAM-Mails legal und legitimiert zugestellt werdenTrotz LinkedIn Privacy – Profilfotos und weitere Medien öffentlich einsehbarHeile dein System mit SysinternalsWie Publicity Beiträge auf LinkedIn die Sicherheit der Firmen gefährdenWenn Desaster zu Chancen werdenHol deine Hände aus der Tasche, mein FreundDie digitale Papierbürokratie der GemeindenDie CSS enjoy365 App – Teil 1: „Das Chaos mit dem Datenschutz“Wir verstehen schneller als wir sprechenDie grosse Lay-Off Welle hat längst begonnenGoogle, der Troll von Gemini?Bitte keine beruflichen Herausforderungen mehr!AWS-Kosten: Schnäppchen oder Kostenfalle?Zwischen Tabu und Toleranz: Die paradoxe Sicht auf Frauen in der ÖffentlichkeitEU verbannt El Mordjene von CebonSind wir vor und mit israelischen Produkten noch sicher?KI, die nicht richtig zählen kann, und es irgendwie doch weissTiefste Schuld oder höchste WürdeErschaffene Götzen – Die KI Geister, die ich riefDry Promotion – Moderne Ausbeute oder neue Perspektive?Radisson Blu Basel – Luxushotel oder dreckige Absteige?Speed-Mining mit LLMs und RAGEntwurf der UN Konvention gegen Cybercrime gebilligt: White-Hats und Pen-Tester bald in Gefahr?KI schreibt, KATIE erntetexpanding the horizon of networking – Ein Erweiterungsvorschlag für LinkedInDie active365 App der CSS belohnt Fitness – mit rechtlichen Bedenken zum DatenschutzHygiene-Skandal im Radisson Blu Basel: Gast findet Schaben und wird von Ungeziefer gebissenAbout A.I. – Vom Wahlpflichtfach zur StandortbestimmungAPI Post-Digitec gehackt?Unterschlagungen von Einnahmen und Veruntreuungen von Verkaufsgütern im ICE-Verkehr durch Mitarbeitende der Deutschen Bahn AGUnsere Server laufen. Was läuft sonst noch über uns?Risikominderung bei Angriffen durch KI mit Einsatz von IAM LösungenDas Regal wird gefüllt, wenn der Platz für das Produkt bezahlt wirdDas Bankengeheimnis der Big 6 – Nicht alle bleiben geheimLINK Institut will mich befragen – WTF?Google – Der T-Virus des Internets?Schweizer Ärzte empfehlen „VIAVAC“, doch wer bekommt meine Gesundheitsdaten? – TEIL IIDie Louis-Jeantet Stiftung forscht weiterhin auf VIAGRA – Dank Google!Kolumne aus der Netzwoche 19/17Schweizer Ärzte empfehlen „VIAVAC“, doch wer bekommt meine Gesundheitsdaten?Kolumne aus der Netzwoche 17/17SPAM & Betrug durch gehackte WordPress SeitenKreditkartennummern selbst berechnenChina’s betrügerischer Online-Handel?Kolumne aus der Netzwoche 15/17Russland-Saktionen der USA und EU – Da blühen doch die Schweizer Geschäfte :)Kolumne aus der Netzwoche 11/17Kolumne aus der Netzwoche 09/17Kolumne aus der Netzwoche 07/17Kolumne aus der Netzwoche 05/17Kolumne aus der Netzwoche 03/17Kolumne aus der Netzwoche 01/17Eintrittsgenehmigung mit Hirnschmalz – IAM-Lösungen brauchen IntelligenzMulti-Faktor-Authentifizierung: Zwingender Schutz für kritische BereicheDurch Emails zu Netzwerkinternas inkl. DatenUNschutz für AbsolventenTR-069 Angriff auf DSL Router – Hacking oder Inszenierung für mehr Überwachung?Von der Spurenverfolgung eines Spamers zur Entdeckung von Kinderpornografie im NetzSI CAPTCHA Anti-Spam Plugin von WordPress wirkungslosBrauchen wir wirklich jedes Jahr ein neues SmartPhone?Unzureichendes Datenschutzverständnis Schweizer UnternehmenInnovation – Grenzenlosigkeit mit Grenzen erreichenVORSICHT vor der Domain „iphone-ipad-mac.xyz“Warum mit zunehmender „Cloudisierung“ Strafverfolgungsbehörden überfordert sindJason Bourne und die ewige Schlamperei bei der Hack-InszenierungMicrosoft’s BingBot ändert seine Taktik und greift durchMe, the Bug – Warum Anwender die übelste Datenschutzlücke sindSollte die RUAG nicht selbst wegen den Abstürzen der F/A-18 der Schweizer Luftwaffe untersucht werden?Cyber-Abwehr der Bundeswehr – Die neue NSA Deutschlands?De Maizière’s Zivilschutzkonzept – Eine versteckte Botschaft?Datenschutzprobleme auf Bewerbungsportalen am Beispiel von Sunrise Communications AGDie Hacker-Konsolen von Mr. Robot und wie schlampig die Amis beim Inszenieren sind
Fr.. Mai 9th, 2025
Trending News: LinkedIn: Vom Karrierenetzwerk zur Datenkrake der USA und Israel?Identitäten stehlen mal anders – Lateral Movement mit Windows BoardmittelnCyber Security Experten und das ProgrammierenDie Welt taumeltAktuelle KI-Mythen im IT BusinessDie Cloud im Wandel der ZeitDSGVO – Ohne Verordnungen nach Europa verkaufen, geht das?Die Achillesferse der digitalen Welt: Warum eine europäische Datenstrategie überfällig istPreisfallen durch Mehrfachlistungen – eine kritische Erfahrung mit der Firma DigitecCorporate-Logos per Copy-Paste? Kein Kläger, Kein Richter!Wurde Die Firma Oracle gehackt? (März 2025)The Hype „Prompt Engineer“ is overA.I. – Das neue geopolitische Machinstrument?Die lokale Installation von LLMs – So privat ist inzwischen AIIT’S OVER – WAS GENAU DENN?Flughafenprojekt Indien der FZAG: Verzögerungen, Widersprüche und fehlende TransparenzDas Jewar Projekt der Flughafen Zürich AG – Ein „Moving Target“ Abenteuer?Weihnachtszeit ohne Konsumdruck – Eine alternative SichtweiseThe Brain Pollution – Das kognitive CO², das unser Kopfklima wandeltGoogle Play Store checkt Nutzung von AppsIsraelische Firma liefert Cybersicherheit für türkisches Militär und MinisterienA vendor experiences a data breach. How do you protect sensitive information?ARCHIVE.ORG DOWNErinnerungen aus Matrix (Teil 2)Erinnerungen aus Matrix (Teil 1)Schweiz an 12ter Stelle des Global AI Index 2024AGI is closer than you think…?Die ING Bank setzt auf künstliche IntelligenzTentakel gewissenloser HypokritenWenn SPAM-Mails legal und legitimiert zugestellt werdenTrotz LinkedIn Privacy – Profilfotos und weitere Medien öffentlich einsehbarHeile dein System mit SysinternalsWie Publicity Beiträge auf LinkedIn die Sicherheit der Firmen gefährdenWenn Desaster zu Chancen werdenHol deine Hände aus der Tasche, mein FreundDie digitale Papierbürokratie der GemeindenDie CSS enjoy365 App – Teil 1: „Das Chaos mit dem Datenschutz“Wir verstehen schneller als wir sprechenDie grosse Lay-Off Welle hat längst begonnenGoogle, der Troll von Gemini?Bitte keine beruflichen Herausforderungen mehr!AWS-Kosten: Schnäppchen oder Kostenfalle?Zwischen Tabu und Toleranz: Die paradoxe Sicht auf Frauen in der ÖffentlichkeitEU verbannt El Mordjene von CebonSind wir vor und mit israelischen Produkten noch sicher?KI, die nicht richtig zählen kann, und es irgendwie doch weissTiefste Schuld oder höchste WürdeErschaffene Götzen – Die KI Geister, die ich riefDry Promotion – Moderne Ausbeute oder neue Perspektive?Radisson Blu Basel – Luxushotel oder dreckige Absteige?Speed-Mining mit LLMs und RAGEntwurf der UN Konvention gegen Cybercrime gebilligt: White-Hats und Pen-Tester bald in Gefahr?KI schreibt, KATIE erntetexpanding the horizon of networking – Ein Erweiterungsvorschlag für LinkedInDie active365 App der CSS belohnt Fitness – mit rechtlichen Bedenken zum DatenschutzHygiene-Skandal im Radisson Blu Basel: Gast findet Schaben und wird von Ungeziefer gebissenAbout A.I. – Vom Wahlpflichtfach zur StandortbestimmungAPI Post-Digitec gehackt?Unterschlagungen von Einnahmen und Veruntreuungen von Verkaufsgütern im ICE-Verkehr durch Mitarbeitende der Deutschen Bahn AGUnsere Server laufen. Was läuft sonst noch über uns?Risikominderung bei Angriffen durch KI mit Einsatz von IAM LösungenDas Regal wird gefüllt, wenn der Platz für das Produkt bezahlt wirdDas Bankengeheimnis der Big 6 – Nicht alle bleiben geheimLINK Institut will mich befragen – WTF?Google – Der T-Virus des Internets?Schweizer Ärzte empfehlen „VIAVAC“, doch wer bekommt meine Gesundheitsdaten? – TEIL IIDie Louis-Jeantet Stiftung forscht weiterhin auf VIAGRA – Dank Google!Kolumne aus der Netzwoche 19/17Schweizer Ärzte empfehlen „VIAVAC“, doch wer bekommt meine Gesundheitsdaten?Kolumne aus der Netzwoche 17/17SPAM & Betrug durch gehackte WordPress SeitenKreditkartennummern selbst berechnenChina’s betrügerischer Online-Handel?Kolumne aus der Netzwoche 15/17Russland-Saktionen der USA und EU – Da blühen doch die Schweizer Geschäfte :)Kolumne aus der Netzwoche 11/17Kolumne aus der Netzwoche 09/17Kolumne aus der Netzwoche 07/17Kolumne aus der Netzwoche 05/17Kolumne aus der Netzwoche 03/17Kolumne aus der Netzwoche 01/17Eintrittsgenehmigung mit Hirnschmalz – IAM-Lösungen brauchen IntelligenzMulti-Faktor-Authentifizierung: Zwingender Schutz für kritische BereicheDurch Emails zu Netzwerkinternas inkl. DatenUNschutz für AbsolventenTR-069 Angriff auf DSL Router – Hacking oder Inszenierung für mehr Überwachung?Von der Spurenverfolgung eines Spamers zur Entdeckung von Kinderpornografie im NetzSI CAPTCHA Anti-Spam Plugin von WordPress wirkungslosBrauchen wir wirklich jedes Jahr ein neues SmartPhone?Unzureichendes Datenschutzverständnis Schweizer UnternehmenInnovation – Grenzenlosigkeit mit Grenzen erreichenVORSICHT vor der Domain „iphone-ipad-mac.xyz“Warum mit zunehmender „Cloudisierung“ Strafverfolgungsbehörden überfordert sindJason Bourne und die ewige Schlamperei bei der Hack-InszenierungMicrosoft’s BingBot ändert seine Taktik und greift durchMe, the Bug – Warum Anwender die übelste Datenschutzlücke sindSollte die RUAG nicht selbst wegen den Abstürzen der F/A-18 der Schweizer Luftwaffe untersucht werden?Cyber-Abwehr der Bundeswehr – Die neue NSA Deutschlands?De Maizière’s Zivilschutzkonzept – Eine versteckte Botschaft?Datenschutzprobleme auf Bewerbungsportalen am Beispiel von Sunrise Communications AGDie Hacker-Konsolen von Mr. Robot und wie schlampig die Amis beim Inszenieren sind
Fr.. Mai 9th, 2025

Identitäten stehlen mal anders – Lateral Movement mit Windows Boardmitteln

Mein LINEKDIN-Beitrag zum geteilten Link von Cyber Security News über die gefundene „Feature“ im RDP Dienst von Microsoft (eher das eine von Microsoft gesponsorte Backdoor) hat mich zur folgenden Frage gebracht:

Es stimmt anscheinend, dass es möglich ist, dass ein Benutzer sich ebenso mit einem vorherigen Kennwort über RDP auf einem System anmelden kann, auch wenn der Benutzer sich auf Systemen mit Multifaktor-Authentifizierung anmelden müsste. Hier würden die zusätzlichen Hürden ausgehebelt werden. Die Schwachstelle umgeht wohl effektiv die Cloud-Verifizierung, die MFA und die Richtlinien für den bedingten Zugriff (Conditional Access) und schafft so eine dauerhafte Hintertür für Angreifer, die sich alte Anmeldedaten verschafft haben, heisst es in dem veröffentlichten Bericht.

  • Doch wie kommt man an solche oder ähnliche Anmeldedaten ran?

In diesem Moment ging mir ein kleiner Blitz auf, hergeleitet aus einer alten Erkenntnis, welches mit relativ überschaubaren Hürden ausgenutzt werden könnte, ebenfalls dank Microsoft.

Nun, es gibt nicht nur die Anmeldeinformationen für das System selbst, die der Einfachheit halber auf Systemen zwischengespeichert werden. Auch viele andere Anwendungen, die eine Netzwerkauthentifizierung benötigen, lassen ihre Benutzer-Credentials von Windows verwalten.

Ob eine einfache Anmeldung an einem SMB-Dienst, beispielsweise um ein Netzlaufwerk einzubinden, oder Netzwerk-Apps wie der Nextcloud Client oder OneDrive zu nutzen – für eine wiederholte, nahtlose Anmeldung werden die Zugangsdaten oft vom Windows-Betriebssystem gespeichert, inklusive Microsoft Live Accounts.

Ebenso werden Credentials auf dem Client-System hinterlegt, wenn etwa bei einer Terminal-Sitzung der Administrator bzw. der Benutzer das Häkchen bei der Funktion „Anmeldedaten speichern“ („Remember Me“) setzt. Dadurch müssen die Authentifizierungsdaten bei der nächsten Anmeldung nicht erneut eingegeben werden. Diese sind dann im Kontext eines Windows-Benutzers auf dem System verfügbar, und Microsoft vertraut an dieser Stelle auf die vorherige Authentifizierung.

Das Speichern der Anmeldedaten während einer RDP Verbindung

Nehmen wir also einmal an, wir hätten die Möglichkeit, auf einen solchen Client zuzugreifen. Sei dies aus der Ferne über eine Schwachstelle, per eigener RDP-Verbindung mit gestohlenen Anmeldeinformationen des Benutzers oder aber auch physisch, weil die Person schlicht vergessen hat, die Station zu sperren, bevor sie sich vom Platz entfernt hat. Auch das Kompromittieren einer Workstation durch Zurücksetzen des Windows-Kennworts ist denkbar, z.B. mithilfe des utilman.exe Hacks, sofern die Festplatte nicht verschlüsselt ist, z.B. per Bitlocker. Der Rechner müsste nicht einmal entsperrt sein.

Nun, es gibt eine Möglichkeit, genau diese gespeicherten Credentials auszulesen und zu sichern. Dabei werden nicht etwa die Kennwörter im Klartext angezeigt. Vielmehr bietet Windows eine Funktion an, gespeicherte Zugangsdaten für Netzwerkanmeldungen jeglicher Art zu sichern und auf Wunsch wiederherzustellen.

Bei der Sicherung dieser Datei (oft im CRD-Format) erzwingt Microsoft zwar die Eingabe eines Kennworts zum Schutz. Dabei ist es für einen Angreifer, der bereits Zugang zum System hat, praktisch unerheblich, welches Passwort gewählt wird. Dieses wird nämlich lediglich bei der Wiederherstellung benötigt, um die Credentials auf ein anderes System laden zu können.

Sofern also der Zugang zu einem Client mit ausreichenden Rechten möglich ist – etwa bei einem der Administratoren im Netzwerk oder einem privilegierten Benutzer – ist das Kopieren dieser Credentials überraschend einfach. Hierzu muss mit der Tastenkombination WINDOWS + R das Ausführen-Fenster geöffnet und folgender Befehl eingegeben werden:

Im Ausführen-Fenster wird der Befehl eingegeben und ausgeführt

Der dabei eingegebene Befehl öffnet den Key Manager und zeigt in einem neuen Fenster alle hinterlegten Anmeldezeilen zu den jeweiligen Applikationen samt Benutzernamen an.

Rundll32 KeyMgr.dll,KRShowKeyMgr

Nach der Ausführung des Befehls erscheint ein Fenster, das die gespeicherten Einträge auflistet. Wurde von diesem System aus eine RDP-Sitzung in Richtung eines Servers aufgebaut und wurden dafür die Anmeldedaten gesichert, sieht man dort einen entsprechenden Eintrag, der oft als TERMSRV/<ZEIL> oder ähnlich benannt ist.

Der Key Manager zeigt die bereits gespeicherten Zugänge an

Jetzt muss man nur noch einen Speicherort auswählen (z.B. USB-Stick, sofern erlaubt), einmalig STRG+ALT+ENTF drücken und einen Sicherungskennwort eingeben, fertig.

Die Credentials lassen sich bequem sichern und wiederherstellen

Die so gesicherte Datei lässt sich dann bequem per USB-Stick mitnehmen, oder – falls noch Zeit und eine Internetverbindung bestehen – auf seinen eigenen Cloud-Speicher o.ä. hochladen.

Wofür konnte sich ein Angreifer noch interessieren, wenn er denn schonmal da ist:

Wenn man schon dabei ist, nimmt man natürlich auch diverse andere Zugangsdaten mit, die womöglich vom Benutzer im Browser hinterlegt wurden, z.B. für die bequeme Anmeldung auf Internetseiten. Auch die SAM Datei darf nicht vergessen werden. Der Export bzw. das Kopieren ist denkbar einfach 😉 Sie ist Teil der Windows-Registrierung und dient zur Speicherung von Benutzerkonten und Passwörter. Bei einem schlecht gewählten Passwort kann dieses, aufgrund des vorliegenden Hashwertes, durch einen Brute-Force-Angriff innerhalb weniger Minuten herausgefunden werden. Das Format der SAM Datei ist eine registry hive.

Zielort der SAM:

%windir%\system32\config\SAM

Befindet man sich beispielsweise im gleichen Firmennetz und hat der Benutzer sich zuvor auf einem SMB-Laufwerk angemeldet, kann man nun mit dessen entwendeten Credentials auf dem Laufwerk stöbern. Findet man dort weitere gespeicherte Credentials (z.B. für RDP), kann man versuchen, mit diesen auf die entsprechenden RDP-Server zuzugreifen – vorausgesetzt, diese sind erreichbar.

Empfehlungen an Systemadministratoren:

Da die Speicherung von Anmeldeinformationen durch Windows, so nützlich sie auch sein mag, erhebliche Risiken birgt und die Gefahr einer Kompromittierung nicht auszuschliessen ist, sollten Systemadministratoren hier aktiv werden (insbesondere von RDP-Zugängen auf Server eben durch die beschriebene Methode).

Es empfiehlt sich dringend, geeignete Powershell-Scripte oder ähnliche Mechanismen zu implementieren, die solche gespeicherten Anmeldeinformationen regelmässig pro Benutzer und Client entfernen. Bei Domainanmeldungen liesse sich dies einfach über einen Anmeldescript realisieren. Bei lokalen Anmeldungen ist dies z.B. über Remote Management Tools oder manuelle Richtlinien umsetzbar.

cmdkey /delete:Zielname

Auch Kerberos Tickets sollten regelmässig entfernt werden, z.B. mit dem Befehl:

klist purge

Strategische Empfehlung an System & Security Architekten sowie CIOs:

Am besten ist es natürlich immer, grundsätzlich auf starke Domain-Zugänge mit robusten Benutzer- und Gruppenpolicies zu setzen, immer individuelle/personenbezogene Benutzeraccounts zu erzwingen und eine leistungsfähige IAM-Lösung zu nutzen.

Beispielsweise ist die CoreOne Suite der Firma ITSENSE AG hierfür inzwischen eine Wunderwaffe, Swiss Made versteht sich. Dann lassen sich solche oder ähnliche, auch spezifische Schutzmassnahmen deutlich einfacher und effizienter implementieren und die Identitäten sowie schlussendlich die Systeme effektiver schützen.

Mit dem Wissen über diese neu entdeckte Schwäche in RDP sollten Server-Systeme ohnehin nicht mehr unmittelbar über RDP-Dienste erreicht werden können, selbst im eigenen Firmennetzwerk nicht. Für kritische Systeme ist bspw. eine Tier-Architektur unerlässlich. Denn es reicht nun unter bestimmten Umständen nicht mehr, dass im besten Fall bei Personalwechsel die Kennwörter generischer Accounts gewechselt werden. Individuelle Accounts sollten ja hoffentlich bei Austritt bereits gesperrt worden sein.

In solchen Fällen sind Zero Trust-Konzepte gar nicht mal so lästig 😉

    • Related Posts

    Cyber Security Experten und das Programmieren
    Cyber Security Experten und das Programmieren

    Es ist eine unumstössliche Wahrheit: Wahre Expertise in einem Gebiet erwächst aus tiefgreifendem, praktischem Wissen. Ob Beruf, Hobby, Leidenschaft oder ehrenamtliches Engagement – wer etwas lediglich theoretisch durch Studien oder…

    Continue reading
    Wurde Die Firma Oracle gehackt? (März 2025)
    Wurde Die Firma Oracle gehackt? (März 2025)

    Eine Untersuchung der CloudSEK-Plattform XVigil hat einen Cyberangriff auf Oracle Cloud aufgedeckt, bei dem sechs Millionen Datensätze exfiltriert wurden. Über 140.000 Kunden könnten betroffen sein. Ein Hacker mit dem Alias…

    Continue reading

    You Missed

    Datenschutz

    LinkedIn: Vom Karrierenetzwerk zur Datenkrake der USA und Israel?

    • Mai 8, 2025
    • 15 views
    LinkedIn: Vom Karrierenetzwerk zur Datenkrake der USA und Israel?
    IAM InfoSec

    Identitäten stehlen mal anders – Lateral Movement mit Windows Boardmitteln

    • Mai 7, 2025
    • 17 views
    Identitäten stehlen mal anders – Lateral Movement mit Windows Boardmitteln
    InfoSec

    Cyber Security Experten und das Programmieren

    • Mai 5, 2025
    • 19 views
    Cyber Security Experten und das Programmieren
    Blog

    Die Welt taumelt

    • Mai 5, 2025
    • 16 views
    Die Welt taumelt
    AI

    Aktuelle KI-Mythen im IT Business

    • Mai 5, 2025
    • 15 views
    Aktuelle KI-Mythen im IT Business
    ICT

    Die Cloud im Wandel der Zeit

    • Mai 5, 2025
    • 18 views
    Die Cloud im Wandel der Zeit