Sicherheitslücke bei Microsofts RDP wiederentdeckt: Das ist kein Bug, das ist ein Feature

Erneut sorgt eine Sicherheitslücke im Remote Desktop Protocol (RDP) von Microsoft für Aufsehen und Kopfschütteln in der IT-Sicherheitswelt. Unabhängige Forscher haben aufgedeckt – oder vielmehr wiederentdeckt –, dass RDP unter bestimmten Umständen die Anmeldung mit längst veralteten oder sogar gesperrten Passwörtern erlaubt. Die überraschende und für viele beunruhigende Reaktion aus Redmond: Man kennt das Problem, wird es aber nicht beheben. Denn laut Microsoft handelt es sich nicht um einen Fehler, sondern um ein beabsichtigtes Verhalten. Frei übersetzt: Das ist kein Bug, das ist ein Feature.

Das Kernproblem, das kürzlich erneut von Sicherheitsforschern wie Daniel Wade an Microsoft gemeldet wurde, liegt in der Art und Weise, wie Windows und RDP mit Anmeldeinformationen umgehen. Wurde ein Passwort einmal erfolgreich zur Anmeldung über RDP genutzt, kann es lokal auf dem zugreifenden Rechner kryptografisch gesichert zwischengespeichert (gecacht) werden. Selbst wenn der Benutzer sein Passwort auf dem Zielsystem ändert oder ein Administrator den Account oder das alte Passwort sperrt, akzeptiert RDP unter Umständen weiterhin das alte, lokal gecachte Passwort für zukünftige Anmeldungen.

Dieses Verhalten widerspricht fundamentalen operativen Sicherheitspraktiken (OpSec) und der grundlegenden Erwartung von Nutzern und Administratoren weltweit. Man vertraut schlichtweg darauf, dass das Ändern ieines Passworts unbefugten Zugriff unterbindet. Doch genau diese Annahme hebelt RDP in bestimmten Szenarien aus.

Konfrontiert mit den Forschungsergebnissen bestätigte Microsoft das Verhalten, stufte es jedoch nicht als Fehler (Bug) ein. Es handle sich um eine bewusste Design-Entscheidung ("working as intended"), die sicherstellen solle, "dass mindestens ein Benutzerkonto immer die Möglichkeit hat, sich anzumelden, egal wie lange ein System offline war".

Microsoft plant demnach keine Behebung der Lücke. Redmonds Ingenieure hätten Berichten zufolge bereits versucht, den Code anzupassen, die Bemühungen jedoch wieder eingestellt. Der Grund: Eine Änderung würde die Kompatibilität mit einer bestimmten Windows-Funktion gefährden, auf die offenbar noch zahlreiche Anwendungen angewiesen sind. Sicherheit muss hier offenbar der Abwärtskompatibilität weichen.

Brisant ist zudem, dass diese Problematik Microsoft nicht neu ist. Bereits im August 2023 wurde das Unternehmen von anderen Forschern darauf hingewiesen, weshalb die neue Analyse auch nicht für eine Bug-Bounty-Prämie in Frage kam.

Dies stellt ein schwer kalkulierbares Risiko für Millionen von Nutzern dar – von Heimanwendern bis zu großen Unternehmensnetzwerken. Sie verlassen sich auf den Schutzmechanismus der Passwortänderung, der hier potenziell ausgehebelt wird.