Sicherheitsforscher von GreyNoise berichten von einer beispiellosen Welle koordinierter Scans gegen Microsofts Remote Desktop Web Access (RD Web Access) und den RDP Web Client. Nach einem ersten Peak am 21. August mit 1.971 eindeutigen IPs folgte am 24. August eine noch größere Welle mit über 30.000 IPs, die beide Login-Portale zeitgleich ansteuerten. BleepingComputer hat die Erkenntnisse aufgegriffen und verifiziert.
Kurzfassung
- Was passiert: Zehntausende IP-Adressen scannen parallel RD Web Access und den RDP Web Client – zielgerichtet auf die Authentifizierungsoberflächen.
- Ziel der Angreifer: Timing-Unterschiede beim Login ausnutzen, um gültige Benutzernamen zu enumerieren und damit spätere Passwort-Sprays, Brute-Force- oder Credential-Stuffing-Angriffe vorzubereiten (GreyNoise).
- Warum das brisant ist: Solche Recon-Peaks gehen neuen Schwachstellen häufig zeitlich voraus – laut GreyNoise tauchten in 80 % der Fälle binnen sechs Wochen neue Verwundbarkeiten auf (GreyNoise).
- Soforthilfe: Portale nicht ins freie Internet stellen, hinter VPN oder RD Gateway mit MFA betreiben, Account-Lockouts und Rate Limiting aktivieren, Response-Zeiten und Fehlermeldungen angleichen (CISA-Leitlinien: CM0025).
Was genau ist passiert?
Am 21. August 2025 registrierte GreyNoise eine sprunghafte Zunahme von Scans gegen Microsoft-RDP-Anmeldeportale: 1.971 IPs – statt normalerweise 3–5 pro Tag – trafen zeitgleich auf RD Web Access und den RDP Web Client. Auffällig: 1.851 IPs nutzten dieselbe Client-Signatur, etwa 92 % davon waren bereits als bösartig klassifiziert; die Quellen lagen überwiegend in Brasilien, die Ziele in den USA. GreyNoise wertet das als Indikator für einheitliches Tooling oder ein Botnetz. Am 24. August folgte eine zweite, deutlich größere Welle mit >30.000 eindeutigen IPs. Quellen: GreyNoise, BleepingComputer.
| Datum | Beobachtung | Kernaussagen | Quelle |
|---|---|---|---|
| 21. Aug 2025 | 1.971 IPs scannen RD Web Access & RDP Web Client synchron | Client-Signatur einheitlich; ~92 % bereits als bösartig getaggt | GreyNoise |
| 24. Aug 2025 | >30.000 eindeutige IPs in neuer Welle | Timing-Tests deuten auf Username-Enumeration | GreyNoise (Update) |
| 25. Aug 2025 | Öffentliche Berichterstattung | BleepingComputer fasst die Erkenntnisse zusammen | BleepingComputer |
Wie funktioniert die Angriffstechnik?
Im Fokus steht Timing-basierte Username-Enumeration. Antwortet ein Login-Endpunkt messbar schneller oder langsamer, je nachdem ob ein Benutzer existiert, können Angreifer aus Antwortzeiten gültige Konten ableiten – ohne Rate-Limits sofort auszulösen. Das ist in der Websicherheit seit Jahren dokumentiert und lässt sich mit Standardtools reproduzieren (vgl. PortSwigger-Lab). Für RD Web Access existieren sogar öffentlich bekannte Module, die genau diesen Pfad adressieren (Exploit-DB, Analyse bei Raxis).
Warum gerade jetzt? Back-to-School-Fenster
GreyNoise vermutet einen Zusammenhang mit dem US-Schuljahresstart: In dieser Phase werden RDP-gestützte Labore und Remotekonten wieder online gebracht, oft mit vorhersagbaren Benutzernamen-Schemata (z. B. vorname.nachname oder Matrikelnummern). Das erhöht die Trefferquote bei der Enumeration und macht anschließende Passwort-Sprays besonders effektiv (GreyNoise).
Wer oder was steckt dahinter?
Die einheitliche Client-Signatur, die starke Überlappung bei RD Web Access und RDP Web Client sowie die hohe Bösartigkeitsquote sprechen für ein koordiniertes Toolset oder Botnetz. Parallel beobachtete GreyNoise Scans nach Open Proxies – Indiz für ein Mehrzweck-Toolkit und Infrastrukturvorbereitung (GreyNoise).
Betroffene Oberflächen: RD Web Access vs. RDP Web Client
- RD Web Access: Webportal, das Apps/Desktops veröffentlicht und den nativen RDP-Client startet (Microsoft-Doku).
- RDP Web Client (HTML5): Browserbasierter RDP-Zugriff, der direkt im Web läuft (Microsoft-Doku).
Was ist das Risiko?
Eine valide Benutzerliste ist der halbe Weg zur Kompromittierung: Mit bestätigten Konten steigen die Erfolgsaussichten von Credential-Stuffing, Passwort-Sprays und Brute-Force drastisch. RDP ist zudem ein beliebter Angriffsvektor für Ransomware und laterale Bewegung (vgl. MITRE ATT&CK T1021.001). Historisch führten exponierte RDP-Dienste vom Massen-Scan schnell zur Ausnutzung neu auftauchender Schwachstellen (BlueKeep als Lehrbeispiel).
Sofortmaßnahmen & Hardening-Checkliste
- RDP-Portale nicht ins Internet hängen. Wenn RDP nötig ist, dann nur hinter VPN oder RD Gateway mit MFA bzw. Zero-Trust-Zugriff betreiben (CISA: CM0025; Microsoft: NPS-MFA-Erweiterung für RD Gateway).
- Response-Zeit & Fehlermeldungen vereinheitlichen. Verhindern Sie timing-basierte Enumeration: identische Antworten, konstantisierte Zeitpfade, keine differenzierten Fehlertexte (Hintergrund: PortSwigger).
- MFA erzwingen. Für alle extern erreichbaren Konten verpflichtend, inkl. Administrations- und Dienstkonten.
- Account-Lockouts & Rate-Limiting aktivieren. RDS/Remote-Zugriff so konfigurieren, dass wiederholte Fehlversuche zu Verzögerung und Sperre führen (siehe Microsoft-Leitfaden zu Client-Lockout).
- Geo-IP-Allowlisting & IP-Reputation. Zugriff geographisch eingrenzen; bekannte bösartige Netze blockieren (z. B. über Threat-Intel/Blocklisten).
- TLS & Patches aktuell halten. RD Web Client regelmäßig aktualisieren (How-to-Update), Server patchen (Patch Tuesday Übersicht).
- Protokollierung & Erkennung. Anmelde-Fehlversuche, ungewöhnliche Latenzen, einheitliche User-Agent-Signaturen und unnatürliche Burst-Muster alarmieren; WAF/Reverse-Proxy mit per-user und per-IP Rate-Limits einsetzen.
Erkennung & Monitoring: Woran Sie Anomalien erkennen
- Synchronisierte Bursts gegen
/RDWeb/und/RDWeb/webclient/aus vielen IPs innerhalb kurzer Zeitfenster. - Konstante Sequenz gleicher Pfade/Parameter mit minimalen Variationen (Hinweis auf automatisiertes Timing-Sampling).
- Einheitliche JA4+/TLS-Fingerprints über viele Quell-IPs hinweg (deutet auf identisches Tooling hin; vgl. Beobachtungen bei GreyNoise).
Hintergrund: Was sind RD Web Access und der RDP Web Client?
RD Web Access ist eine Windows-Server-Rolle, die Remote-Apps und Desktops über ein Webportal bereitstellt. Der RDP Web Client ist eine HTML5-basierte Oberfläche für den Browserzugriff. Beide exponieren Auth-Flows – und sind damit attraktive Ziele für Enumeration und Credential-Angriffe.
Fazit
Die jetzt beobachteten, weltweit koordinierten Scans markieren eine neue Qualität der Reconnaissance gegen Microsofts RDP-Anmeldeportale. Selbst wenn (noch) keine neue Schwachstelle öffentlich ist, legen Timing-Tests und skalierte Username-Enumeration den Grundstein für die nächste Angriffswelle. Wer RD Web Access oder den RDP Web Client betreibt, sollte umgehend die Exposition minimieren, MFA erzwingen, Rate-Limits setzen und die Logs auf gleichförmige Bursts prüfen. Die gute Nachricht: Mit wenigen Architektur- und Policy-Anpassungen lässt sich ein Großteil des Risikos schnell abräumen.
Letzte Aktualisierung am 16.08.2025 / Affiliate Links / Bilder von der Amazon Product Advertising API. Alle hier angezeigten Preise und Verfügbarkeiten gelten zum angegebenen Zeitpunkt der Einbindung und können sich jederzeit ändern. Der Preis und die Verfügbarkeit, die zum Kaufzeitpunkt auf Amazon.de angezeigt werden, sind maßgeblich. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.
Quellen & weiterführende Links
- GreyNoise: Nearly 2,000 Malicious IPs Probe Microsoft Remote Desktop in Single-Day Surge (Update: >30.000 IPs am 24.08.)
- BleepingComputer: Surge in coordinated scans targets Microsoft RDP auth servers
- CISA: Disable Remote Desktop Protocol (RDP) – CM0025
- Microsoft Docs: Remote Desktop Web Access (RDS-Rollen)
- Microsoft Docs: Remote Desktop Web Client (HTML5)
- Microsoft Docs: RD Gateway mit Microsoft Entra ID (MFA via NPS-Erweiterung)
- Microsoft Docs: Web Client aktualisieren & verwalten
- PortSwigger: Lab – Username enumeration via response timing
- Exploit-DB: RD Web Access – Authentication Timing Attack (Metasploit)
- Raxis: RD Web Access – Timing-basierte Auth-Enumeration erklärt
- MITRE ATT&CK: Remote Services – RDP (T1021.001)
About the Author
