Zurück zur Startseite

Shadow RDP umgeht MFA in Azure

Shadow RDP-Angriff ermöglicht Angreifern das Beitreten zur Azure-Administrator-Sitzung ohne MFA. Registry-Aufschlüsselung, Event ID-Logs und Schutzmaßnahmen: GPO, Conditional Access, PAW. Material für Senior-Infrastrukturspezialisten.

Shadow RDP-Sitzungskapernung: MFA-Umgehung in der Cloud
Advertisement 728x90

Shadow RDP: So kapern Angreifer Cloud-Admin-Sitzungen

Angreifer umgingen MFA in einer hybriden On-Prem-AD- und Azure-Umgebung mithilfe der integrierten Windows-Funktion Shadow RDP. Sie schlüpften in eine aktive Admin-Sitzung, ohne sich erneut zu authentifizieren, und übernahmen die volle Kontrolle über Azure-Ressourcen. Der Einbruch blieb in den Azure-AD-Protokollen unbemerkt, bis jemand eine Sitzung bemerkte, die über 12 Stunden dauerte.

Angriffsbedingungen und erste Warnsignale

Die hybride Umgebung nutzte eine On-Prem-Active Directory, die über Azure AD Connect synchronisiert wurde. Kritische Assets wie VMs und Speicher befanden sich in Azure, mit MFA für alle privilegiierten Konten.

Azure AD protokollierte nur eine erfolgreiche MFA-Anmeldung an diesem Morgen. Alle Folgeaktionen wirkten wie nahtlose Fortsetzung dieser Sitzung. Das Warnsignal? Eine ungewöhnlich lange Sitzung – über 12 Stunden – ohne nächtliche Admin-Aktivität.

Google AdInline article slot

| Indikator | Normales Verhalten | Während des Angriffs |

|----------|---------------------|----------------------|

| Azure-AD-Sitzungsdauer | 8–9 Stunden | 24+ Stunden |

Google AdInline article slot

| MFA-Aufforderungen | Jeden Morgen oder IP-Wechsel | Keine nach Hijack |

| IP-Adresse | Büro/VPN | Gleich wie Admin |

| Prozesse | Browser, PowerShell, RDP | + mstsc /shadow |

Google AdInline article slot

| Aktivitätszeit | 9:00–18:00 Uhr | Nachtstunden |

Technische Analyse von Shadow RDP

Shadow RDP ist eine native Windows-10/11- und Server-Funktion (mit RDSH-Rolle), die es erlaubt, in die aktive Sitzung eines anderen Benutzers einzutauchen.

Angreifer passten das Registry der Admin-Arbeitsstation für heimlichen Zugriff an:

# Volle Kontrolle ohne Zustimmungsaufforderung (Modus 2)
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v Shadow /t REG_DWORD /d 2 /f

# Beobachtungsbenachrichtigung deaktivieren
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v ShadowNotification /t REG_DWORD /d 0 /f

Shadow-Modi:

  • 0 — Deaktiviert
  • 1 — Volle Kontrolle mit Erlaubnis
  • 2 — Volle Kontrolle ohne Erlaubnis
  • 3 — Nur Anzeige mit Erlaubnis
  • 4 — Nur Anzeige ohne Erlaubnis (im Angriff genutzt)

Zusätzlich passten sie Windows Defender Firewall-Regeln für RDP-Ports an.

Sitzungs-Hijack-Befehl: mstsc /shadow:SESSION_ID /control /noConsentPrompt.

Wichtige Windows-Log-Ereignisse

Überwachen Sie diese Event-IDs, um Shadow RDP zu erkennen:

  • Event-ID 20508 — Shadow-Ansichtsberechtigung erteilt
  • Event-ID 20503 — Shadow-Ansichtssitzung gestartet
  • Event-ID 20504 — Shadow-Ansichtssitzung beendet

Weitere Protokolle zur Untersuchung:

| Quelle | Event-ID | Erfassen |

|--------|----------|----------|

| Security (Admin-Workstation) | 4657 | Shadow/ShadowNotification-Registryänderungen |

| PowerShell Operational | 4103 | Set-ItemProperty für Registry |

| TerminalServices-LocalSessionManager | 20503 | Shadow-Sitzungsstart |

| TerminalServices-LocalSessionManager | 20504 | Shadow-Sitzungsende |

| Azure AD Anmeldung | — | Sitzungsdauer |

| Azure AD Anmeldung | — | Kein MFA bei IP-Wechsel |

Schutzmaßnahmen und Gegenstrategien

  • GPO zum Deaktivieren von Shadow RDP: Shadow=0 auf nicht essentiellen Hosts setzen.
  • RDP-Sitzungen begrenzen: GPO „Zeitlimit für aktive, aber leerlaufende Terminal Services-Sitzungen“ — 8 Stunden, mit Zwangsabbruch.
  • Azure AD Conditional Access:

* MFA-Häufigkeit: Alle 1–2 Stunden.

* Neuauthentifizierung bei IP-Wechseln.

* „Angemeldet bleiben“ für privilegierte Rollen blockieren.

  • RDP-Hosts abhärten:

* Restricted Admin Mode.

* Credential Guard.

* Remote Credential Guard.

  • PAW/PAM-Workstations: Isolierte Admin-Maschinen, Neustart nach Nutzung, kein Internet/E-Mail.
  • SIEM/SOAR-Überwachung:

* Registry-Änderungen.

* Event-IDs 20503/20504.

* Korrelation von Cloud- und On-Prem-Protokollen.

Wichtige Erkenntnisse

  • MFA schützt nicht vor Sitzungs-Hijacks – konzentrieren Sie sich auf Sitzungsdauer und Prozessüberwachung.
  • Shadow RDP ist eine legitime Funktion; erkennen Sie sie über Registry-Anpassungen und Event-IDs 20503+.
  • Hybride Umgebungen erfordern Korrelation von Azure-AD- und Windows-Protokollen.
  • Conditional Access mit häufigem MFA ist die Basis gegen Sitzungs-Hijacking.
  • PAW verkleinert die Angriffsfläche Ihrer Endgeräte.

— Editorial Team

Advertisement 728x90

Weiterlesen