Koordinierte RDP-Scans richten sich gegen Microsofts Authentifizierungsserver in einer Kampagne, die Experten als besorgniserregend bezeichnen. GreyNoise beobachtete fast 2.000 IP-Adressen, die an einem einzigen Tag Microsoft Remote Desktop Web Access-Portale sondierten – weit über dem täglichen Durchschnitt. Nur wenige Tage später stieg die Zahl auf über 30.000 eindeutige IP-Adressen, was auf eine ernsthafte Aufklärungsaktion hinweist.
Zeitbasierte Enumeration
Die Scans nutzen zeitliche Unterschiede in den Serverantworten aus. Durch das Messen von Verzögerungen können Angreifer feststellen, ob ein Benutzername existiert – ohne Brute-Force-Versuche. Diese Methode ermöglicht es ihnen, schnell gültige Benutzernamen zu sammeln, was spätere Angriffe deutlich effektiver macht.
Eskalation weltweit
GreyNoise bestätigte, dass 92 % der beteiligten IP-Adressen denselben Client-Fingerabdruck aufwiesen. Die meisten stammten aus Brasilien, richteten sich jedoch gegen Server in den USA. Das Ausmaß und die Einheitlichkeit deuten auf ein zentrales Botnetz oder eine organisierte Gruppe hinter der Aktivität hin.
Warum der Bildungssektor gefährdet ist
Der Anstieg begann um den 21. August und fiel mit dem Beginn des neuen Schuljahres in den USA zusammen. Schulen und Universitäten verlassen sich häufig auf RDP-Umgebungen für Labore und Fernzugriff. Zudem verwenden sie oft vorhersehbare Benutzernamen wie Studentenausweise oder E-Mail-Formate. Diese Vorhersehbarkeit macht sie zu attraktiven Zielen für Angreifer.
Potenzielle Bedrohungen
Die Vergangenheit zeigt, dass Scan-Wellen häufig aktive Ausnutzung einleiten. Sobald Benutzernamen identifiziert sind, könnten Angreifer Brute-Force-Angriffe, Passwort-Spraying oder sogar Ransomware-Kampagnen starten. Der plötzliche Anstieg von 2.000 auf 30.000 IP-Adressen weist auf Vorbereitungen für größere Angriffe hin.
Verteidigungsstrategien
Organisationen können mehrere Maßnahmen ergreifen, um die Gefährdung zu verringern:
- Multi-Faktor-Authentifizierung (MFA) erzwingen bei allen RDP-Anmeldungen.
- RDP-Zugriff einschränken hinter VPNs oder Firewalls.
- Protokolle überwachen auf wiederholte Scanmuster.
- Öffentliche Exponierung von RDP-Diensten reduzieren.
- Stärkere und weniger vorhersehbare Benutzernamen verwenden.
Fazit
Der Anstieg koordinierter RDP-Scans gegen Microsoft-Server ist eine klare Warnung. Mit über 30.000 beteiligten IP-Adressen zeigt die Kampagne, wie schnell Aufklärung eskalieren kann. Organisationen – insbesondere im Bildungssektor – sollten jetzt handeln, indem sie MFA durchsetzen, den RDP-Zugriff einschränken und ungewöhnliche Aktivitäten überwachen. Proaktiv zu sein ist die beste Verteidigung gegen das, was als Nächstes kommen könnte.
0 Kommentare zu „Koordinierte RDP-Scans zielen auf Microsoft-Server ab“