…und immer brav Updates einspielen sollte.
Eine kleine Geschichte zwischendurch, denn auch der dümmste Fehler kann nachher immer noch als abschreckendes Beispiel dienen. 
In einem kleinen Test-Umfeld lief ein Windows Server 2016, der an sich aus dem Internet nur per https erreichbar sein sollte. Für Wartungszwecke wurde zwischendurch auch mal RDP in der Firewall erlaubt und hinterher dann wieder abgeschaltet. Und da es kein offizielles System, sondern halt nur eine Bastelei darstellen sollte, fehlte natürlich auch der Schutz von möglichen IDS/IPS Lösungen.
Da das Spiel- und Bastelprojekt irgendwie einige Zeit nicht mehr so recht wollte, geriet das System etwas aus den Augen. Natürlich hat sich in der Zwischenzeit auch niemand um Updates gekümmert. Automatische Updates waren ebenfalls nicht aktiviert, insofern dämmerte der Server da so unbenutzt vor sich hin. Und da ja weiter gebastelt werden sollte, war nach den letzten Arbeiten auch der RDP Port offen geblieben…
Heute kam dann das A-Ha-Erlebnis: die Anmeldung per RDP klappt nicht mehr. Das Passwort sei angeblich falsch. Nun ja, es ist Montag und das System wurde lange nicht genutzt. Aber es waren zwei Personen, die unabhängig voneinander scheiterten. Also musste es ja wohl an der Maschine liegen.
Es folgte der “Hausbesuch”, bewaffnet mit Monitor und Tastatur, um dem System mal richtig zu Leibe zu rücken. Der Versuch der Anmeldung scheiterte dann mit folgender Meldung:
Ha ha!
Da hat also tatsächlich jemand das seit einigen Monaten (ich würde vermuten seit März oder April) nicht mehr gepatchte System gekapert, die Passwörter geändert und seinen eigenen Anmeldetext eingetragen.
Wir haben dann nicht mehr getestet, ob die Daten wirklich verschlüsselt worden waren, sondern die Installation entsorgt.
Zwei Dinge darf man also definitiv daraus lernen:
- Sicherheitsupdates sind wichtig, Systeme werden definitiv angegriffen.
- RDP nach außen direkt zu öffnen – auch testweise – ist eine ziemlich dumme Idee.
Naja. Die Zwei Punkte sind sicherlich ein guter Rat. Aber ob sie nun wirklich damit zusammenhängen? Es kann daran gelegen haben, aber auch an vielen anderen Dingen. z.B. könnte irgendeine dort installierte Software sich per Autoupdate zur Malware gemacht haben. Sind oder waren tatsächlich Lücken im RDP bekannt? Ich finde es etwas schade, dass es nicht näher untersucht wurde.
Zumindest war auf dem System sonst keine weitere Software installiert, insofern gabs auch keine Auto-Updater. Einzige Chance wäre noch ein Bruteforce-Angriff auf die Zugangsdaten. Das Passwort war jetzt nicht unbedingt in „Geheimdienststärke“, aber auch nicht einfach per Wörterbuch zu raten. Um jetzt eine genauere Untersuchung zu starten fehlt vor allem die Zeit, insbesondere weil es ja nur ein Spiel- und Bastelsystem war.
Ich hätte zumindest wissen wollen, ob vermutlich ein Einzeltäter manuell dran war, oder ob es was Bekanntes weit verbreitetes ist…