„Neue Sicherheitsmängel in Microsoft RD Web“

Wie manche Nutzer die Zwei-Faktor-Authentifizierung falsch einsetzen – ein Kommentar von Andy Kemshall, SecurEnvoy

Microsoft RD Web mit Zwei-Faktor-Authentifizierung von SecurEnvoy

Viele Unternehmen nutzen Microsoft Remote Desktop Web (RD Web), um ihre Zugriffe auf Web- und Serverressourcen zu verwalten. Als Absicherung wird eine Zwei-Faktor-Authentifizierung (2FA) empfohlen. Diese setzt sich herkömmlicherweise aus den Komponenten Benutzername plus Passwort und einem ergänzenden Passcode zusammen. Zuletzt gab es jedoch in RD Web-Umgebungen vermehrt Vorfälle, bei denen Dritte ohne zusätzlichen Passcode Zugriff auf Webapplikationen erlangten. Wie konnten sie die eigentlich sichere 2FA aushebeln, und wie sollen sich RD Web-Nutzer in Zukunft schützen?

Werfen wir zunächst einen Blick auf den Firmenalltag und darauf, wie eine RD Web-Anmeldung normalerweise abläuft. Als Erstes muss sich ein Nutzer in einem Microsoft RD Web-Interface via 2FA für den Zugriff auf eine Webseite legitimieren. Anschließend folgt eine zweite Authentifizierung, in der Regel via Single Sign On (SSO), um auf den RD Gateway als Haupt-VPN zugreifen zu dürfen. Der RD Gateway empfängt alle remote versendeten Daten von den Remote Desktop Protocol (RDP)-Client-Nutzern. Jetzt kommt der sogenannte RD Connection Broker ins Spiel, der den Nutzer mit einem Backend-RD Session Host verbindet. Danach ist der Applikationszugriff freigeschaltet.

Doch im Zusammenspiel von RD Web und herkömmlichen 2FA-Servern tauchten enorme Sicherheitslücken auf. Grund dafür ist die fehlende Verbindung des 2FA-Servers zum Microsoft RD Gateway-Server. User können problemlos eine Remote Desktop Protocol (RDP)-Datei erstellen oder einen vollen Desktop-Zugriff erreichen, um sich dadurch direkt mit dem RD Gateway zu verbinden – ohne sich zuvor mit RD Web verbinden zu müssen. Dadurch umgehen Dritte die 2FA-Sperre und greifen direkt auf die RD-Webseite und das Gateway zu. Zur Anmeldung muss man hier lediglich seinen Benutzernamen und sein Passwort verwenden. Da der RD Gateway keine herkömmliche, sichere Zwei-Faktor-Authentifizierung unterstützt, stellt dies für Unternehmen und Organisationen ein Sicherheitsrisiko dar.

Wo der Microsoft-Schutz aufhört …
Um die 2FA-Umgehungstaktiken zu stoppen, wird Firmen empfohlen, einen Windows Logon Agent (2FA) auf jedem RD Session Host zu installieren. Doch dieses eigentliche Sicherheitsplus erzeugt ein weiteres großes Problem: Jeder Backend-RD Session Host erfordert nun eine separate Zwei-Faktor-Authentifizierung. Wenn der Nutzer nun verschiedene Applikationen startet, wird der RD Connection Broker womöglich verschiedene Session Hosts dafür auswählen. Das heißt, Nutzer wären gezwungen, sich bei der täglichen Arbeit unzählige Male via 2FA zu legimitieren, was nicht nur zu frustrierten Gesichtern, sondern auch zu langsamen Arbeitsabläufen führen wird. Zudem ist dies ein schlechtes Security-Konzept, weil versucht wird, alle internen Türen zu schließen, während die Haustür die ganze Zeit offensteht.

SecurEnvoy (http://www.securenvoy.de/products/securaccess/) liefert als erster 2FA-Anbieter eine richtige RD Gateway-Integration. Somit bietet man die einzige Lösung, die die Sicherheit der 2FA wiederherstellt und die genannten Probleme mit Microsoft RD Gateways überwindet. Installieren Firmen die SecurEnvoy-Lösung im RD Web und auf den Gateways, wird die gesamte Kommunikation über RD Web und den RD Gateway geroutet und gleichzeitig vom SecurEnvoy-Agent kontrolliert. Dies gelingt, weil die SecurEnvoy-Lösung nun direkt mit dem RD Gateway- und Active Directory-Server verbunden ist und die Sicherheitsmechanismen im ganzen System greifen können. Dadurch ist jeder Anwender in der Lage, die 2FA wieder für alle Remote Desktop Web-Sitzungen (Sessions) uneingeschränkt zu nutzen. Das System ist jetzt zu 100 % abgesichert und kann zu keiner Zeit mit einem herkömmlichen Anmeldevorgang (Benutzername plus Passwort) umgangen werden.

Über SecurEnvoy:
SecurEnvoy ist der Erfinder patentierter tokenloser Lösungen für die Zwei-Faktor-Authentifizierung. Millionen Anwender weltweit profitieren bereits vom schnellsten mobilen Authentifizierungsprozess, der kein Token benötigt. Die Methode setzt auf Endgeräte wie Mobiltelefone, Smartphones, Tablets und Laptops, um den Passcode für die Identifizierung bereitzustellen. Sogar ohne Mobilfunk- oder Internetverbindung kann der User den Code mittels Voice Call empfangen oder sich über die One Swipe-Technologie ausweisen, die auf einem QR-Code-Scan basiert. Teil der Produktpalette des Unternehmens mit Sitz in London (UK), Frankfurt (D) und San Diego (USA) ist die Lösung SecurAccess. Die Administrations-Tools lassen sich unkompliziert in bestehende IT-Infrastrukturen integrieren und ermöglichen die Einbindung von bis zu 100.000 Usern pro Stunde. Neben der Auszeichnung von SecurAccess als „Best Buy“ durch das SC Magazine wurde SecurEnvoy im Gartner Magic Quadrant als „Visionary“ eingestuft. SecurEnvoy hat sich einen Kundenstamm in vertikalen Märkten aufgebaut, darunter Banken, Finanzen, Versicherungen, Behörden, Produktion, Marketing, Einzelhandel, Telekommunikation, Charity, Justiz und Baugewerbe. Dabei arbeitet der Authentifizierungsexperte mit Partnern wie AEP, Astaro, Cisco, Checkpoint, Citrix, Juniper, F5, Palo Alto, Sophos etc. zusammen. Weitere Informationen unter www.securenvoy.de.

Firmenkontakt
SecurEnvoy Limited
Steve Watts
Mainzer Landstrasse 50
60325 Frankfurt am Main
02661-912600
swatts@securenvoy.com
http://www.securenvoy.com

Pressekontakt
Sprengel & Partner GmbH
Olaf Heckmann
Nisterstrasse 3
56472 Nisterau
02661-912600
administration@sprengel-pr.com
http://www.sprengel-pr.com