Seite 2: Nachschlüssel vom Schlüsseldienst

Inhaltsverzeichnis

Nachschlüssel vom Schlüsseldienst

Mit den aktuelleren Versionen der Clients basierend auf RDP v5.2 gab es eine kleine Änderung gegenüber der Vorgängerversion: Der Server weist sich nun mit einem Zertifikat gegenüber dem Client aus. Damit ist der ursprüngliche MITM-Angriff so nicht mehr durchführbar. Wie Massimiliano Montoro feststellte, hat Microsoft seine Hausaufgaben aber leider nicht gründlich genug gemacht [2].

Der Server erstellt dieses Zertifikat, indem er seinen öffentlichen Schlüssel mit einem privaten Schlüssel signiert. Dieser private Schlüssel ist allerdings fest in die Datei mstlsapi.dll einprogrammiert. Diese DLL ist auf jedem Windows XP, Windows 2000 Server und Windows 2003 Server vorhanden -- der Schlüssel ist dabei immer derselbe.

Daher ist es ein Leichtes, die "alte" Attacke mit kleinen Modifikationen weiterhin durchzuführen. Der Rechner in der MITM-Position muss hierfür lediglich ein eigenes Zertifikat mit dem Schlüssel aus seiner DLL signieren und an den Client schicken. Dieser akzeptiert es ohne weitere Rückmeldung auf Client- oder Server-Seite.

Das Security-Audit-Tool "Cain&Abel" unterstützt seit der Version 2.7 diese MITM-Attacke [3]. Mit wenigen Mausklicks lassen sich komfortabel die zu belauschenden Rechner auswählen, den Verkehr schneidet das Tool automatisch mit und entschlüsselt ihn auch gleich. In der Protokoll-Datei fanden sich bei unseren Tests dann die Tastenanschläge des sich anmeldenden Administrators. Damit ließ sich das Passwort sehr einfach rekonstruieren.