Die meistgenutzten Passwörter bei Angriffen auf Terminal Server

Die Anzahl der kompromittierten Kennwörter aus Angriffen und Leaks, die in Specops Breached Password Protection gespeichert sind, übersteigt nun die Schwelle von 3 Milliarden.

Heute veröffentlicht das Specops Security Research Team seine Analyseergebnisse, welche Passwörter bei gegenwärtigen Angriffen speziell auf Terminal Server verwendet werden. Diese Analyse fällt zeitlich mit der neuesten Aktualisierung der Specops Breached Password Protection-Datenbank von über 34 Millionen neuen, kompromittierten Passwörtern zusammen. Damit steht nun eine Referenzdatenbank zur Verfügung, die mehr als 3 Milliarden verschiedene kompromittierte Kennwörter enthält.

Der Zugriff auf Terminal Server erfolgt hauptsächlich über das Remote Desktop Protokoll (RDP) mittels TCP Port 3389. Aber auch der Fernzugriff auf die Windows Clients einer Organisation, kann den Anwendern über RDP zur Verfügung gestellt werden. Gerade im Zuge der Pandemie wurde davon vermehrt Gebrauch gemacht. Deshalb bleibt ein Angriff über RDP weiterhin ein beliebter Vektor für Threat-Actors. Microsoft hat auf dieses Bedrohungsszenario reagiert und ermöglicht es zusätzlich zum Account Lockout auch den Remote Access Client Account Lockout zu konfigurieren.

Brute Force steht nach wie vor an der Spitze der Angriffsmethoden. Laut ESET macht dieses Vorgehen 41% aller Angriffe aus.

Welche Passwörter werden bei diesen Angriffen verwendet?

Unser Research Team hat sich einen Teil von über 4,6 Millionen Passwörtern angesehen, die wir innerhalb weniger Wochen im Oktober auf unseren Honeypot-Systemen gesammelt haben – eine unserer Quellen für die Specops Breached Password Protection Datenbank, mit deren Hilfe Specops Password Policy die Verwendung von kompromittierten Passwörtern in Active Directory verhindert.

Die unten aufgeführten Passwörter bilden eine Liste der am häufigsten gefundenen Basisbegriffe, die bei Angriffen auf unser Honeypot Netzwerk verwendet wurden.

Häufige Basisbegriffe, die für Angriffe über das Remote Desktop Protokoll (RDP) verwendet werden

Die häufigsten Basisbegriffe in Passwörtern, die im Oktober 2022 für Angriffe auf den TCP-Port 3389 verwendet wurden, waren Folgende:

1. password
2. p@ssw0rd
3. welcome
4. admin
5. passw0rd
6. p@ssword
7. pa$$w0rd
8. qwerty
9. user
10. test

Diese Basisbegriffe zeigen einige sehr grundlegende Kennwortmuster in den Wortlisten, mit denen Angreifer über den Port 3389 auf Terminal Server zugreifen wollen Mit einem angepassten Wörterbuch welches Leetspeak-Varianten blockiert, können sich Unternehmen so schon einmal vor den häufigsten Basisbegriffen schützen, die für Angriffe auf Terminal Server verwendet werden.

Vergleichen Sie dies mit den häufigsten Basisbegriffen, die für Angriffe auf Netzwerke über mehrere Ports (einschließlich Port 3389) verwendet werden und die unser internes Überwachungsteam im selben Zeitraum beobachtet hat:

1. password
2. admin
3. welcome
4. p@ssw0rd
5. qaz2wsx
6. homelesspa
7. p@ssword
8. qwertyuiop
9. q2w3e4r5t
10. q2w3e4r

Am interessantesten an diesem größeren Datensatz dürfte die Aufnahme von “homelesspa” sein – ein Passwort-Basisbegriff, der im MySpace-Leak von 2016 gefunden wurde und uns einen Einblick in die von Angreifern für Angriffe auf Netzwerke verwendeten Listen gibt. Dieser Begriff taucht auch in der 2019 veröffentlichten NCSC Top 100k-Liste auf. Dieser Basisbegriff deutet darauf hin, dass eine Wortliste oder eine Sicherheitslücke, auch wenn sie “alt” ist, immer noch schützenswert ist, da Angreifer ihre Angriffslisten oft aus mehreren verschiedenen Leaks zusammenstellen.

Unser Team untersuchte auch, welche Muster in den jüngsten Angriffen auf Netzwerke zu finden sind. So können wir Unternehmen dabei helfen, einen effektiveren Ansatz für die Passwortsicherheit zu entwickeln:

• Mehr als 88 % der Passwörter, die im Oktober für Angriffe auf Terminal Server verwendet wurden, bestanden aus 12 Zeichen oder weniger.
• Die häufigste Passwortlänge, die in diesen Angriffsdaten gefunden wurde, war 8 Zeichen mit fast 24 %.
• In diesem Datensatz gab es weniger signifikante Muster in der Zusammensetzung von Passwörtern – obwohl Kennwörter, die nur Kleinbuchstaben enthalten, mit 18,82 % die häufigste Zeichenkombination waren.

Unternehmen, die die Verwendung solcher Passwörter verhindern wollen, könnten Regeln für die Zusammensetzung von Kennwörtern anwenden, wie z. B. die Verwendung von Passphrasen, die Erkennung (und Verhinderung) von Mustern, die Vorgabe einer Mindestlänge von 13 Zeichen oder mehr und die Einführung eines längenbasierten Ablaufdatums für Kennwörter. Diese Regeln in Verbindung mit einem benutzerdefinierten Wörterbuch oder einer Prüfung auf kompromittierte Passwörter wären der beste Schutz gegen solche Angriffe.

Schutz des Terminal Servers vor Brute-Force-Kennwortangriffen über den RDP-Port

Unternehmen, die den Angriff über den RDP-Port zum Schutz vor Ransomware oder anderen bösartigen Aktivitäten absichern möchten, sollten folgende bewährte Sicherheitsverfahren anwenden:

• Halten Sie Windows-Server und -Clients gepatcht und auf dem neuesten Stand, um sie vor CVEs zu schützen.
• Prüfen Sie die Konfiguration von möglichen Schwachstellen – stellen Sie sicher, dass der TCP-Port 3389 eine SSL-Verbindung verwendet und nicht direkt aus dem Internet erreichbar ist.
• Begrenzen Sie den Bereich der IP-Adressen, die RDP-Verbindungen nutzen können.
• Setzen Sie Multi-Faktor Authentifizierung für den Zugriff auf Terminal Server aus dem Internet ein
• Blockieren Sie die Verwendung von schwachen und kompromittierten Kennwörtern, insbesondere von solchen, die derzeit für Angriffe auf RDP-Ports verwendet werden.

Finden Sie kompromittierte Passwörter in Ihrem Netzwerk

Das heutige Update für den Breached Password Protection Service beinhaltet ein Update von über 26 Millionen Passwörtern, die der von Specops Password Auditor verwendeten Liste hinzugefügt wurden. Sie können den neuesten Specops Password Auditor hier herunterladen. Specops Password Auditor speichert keine Active Directory Daten und nimmt auch keine Änderungen an Active Directory vor.

Verringern Sie das Risiko eines Ransomware-Angriffs, indem Sie die oben genannten Passwörter blockieren

Mit Specops Password Policy und Breached Password Protection können Unternehmen die Nutzung von Passwörtern wie den oben aufgeführten und über 3 Milliarden weiteren bekannten gefährdeten Passwörtern verhindern. Zu diesen kompromittierten Passwörtern gehören auch solche, die aktuell in realen Angriffen verwendet werden oder auf bekannten Listen mit kompromittierten Passwörtern stehen, was die Einhaltung von Behördenempfehlungen wie die des BSI erleichtert.

Unser Security Research Team hält die Datenbank kontinuierlich auf dem Laufenden und stellen so sicher, dass Ihre Netzwerke vor aktuellen Passwortangriffen geschützt sind.

Wird ein Kennwort vom Specops Password Policy blockiert, dann erhält der Endnutzer eine individuelle Benachrichtigung die den Grund für die Passwortänderung erläutert. Diese Benachrichtigungen und das dynamische Feedback bei der Passwortänderung, welches dem Nutzer die Passwortrichtlinien anschaulich darstellt und anzeigt, warum sein Passwort möglicherweise abgewiesen wurde, trägt dazu bei dass weniger Anrufe beim Service Desk eingehen. Überzeugen Sie sich selbst von Specops Password Policy mit einer Demo oder einer kostenlosen Testversion.