Shadow RDP: So kapern Angreifer Cloud-Admin-Sitzungen
Angreifer umgingen MFA in einer hybriden On-Prem-AD- und Azure-Umgebung mithilfe der integrierten Windows-Funktion Shadow RDP. Sie schlüpften in eine aktive Admin-Sitzung, ohne sich erneut zu authentifizieren, und übernahmen die volle Kontrolle über Azure-Ressourcen. Der Einbruch blieb in den Azure-AD-Protokollen unbemerkt, bis jemand eine Sitzung bemerkte, die über 12 Stunden dauerte.
Angriffsbedingungen und erste Warnsignale
Die hybride Umgebung nutzte eine On-Prem-Active Directory, die über Azure AD Connect synchronisiert wurde. Kritische Assets wie VMs und Speicher befanden sich in Azure, mit MFA für alle privilegiierten Konten.
Azure AD protokollierte nur eine erfolgreiche MFA-Anmeldung an diesem Morgen. Alle Folgeaktionen wirkten wie nahtlose Fortsetzung dieser Sitzung. Das Warnsignal? Eine ungewöhnlich lange Sitzung – über 12 Stunden – ohne nächtliche Admin-Aktivität.
| Indikator | Normales Verhalten | Während des Angriffs |
|----------|---------------------|----------------------|
| Azure-AD-Sitzungsdauer | 8–9 Stunden | 24+ Stunden |
| MFA-Aufforderungen | Jeden Morgen oder IP-Wechsel | Keine nach Hijack |
| IP-Adresse | Büro/VPN | Gleich wie Admin |
| Prozesse | Browser, PowerShell, RDP | + mstsc /shadow |
| Aktivitätszeit | 9:00–18:00 Uhr | Nachtstunden |
Technische Analyse von Shadow RDP
Shadow RDP ist eine native Windows-10/11- und Server-Funktion (mit RDSH-Rolle), die es erlaubt, in die aktive Sitzung eines anderen Benutzers einzutauchen.
Angreifer passten das Registry der Admin-Arbeitsstation für heimlichen Zugriff an:
# Volle Kontrolle ohne Zustimmungsaufforderung (Modus 2)
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v Shadow /t REG_DWORD /d 2 /f
# Beobachtungsbenachrichtigung deaktivieren
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services" /v ShadowNotification /t REG_DWORD /d 0 /f
Shadow-Modi:
- 0 — Deaktiviert
- 1 — Volle Kontrolle mit Erlaubnis
- 2 — Volle Kontrolle ohne Erlaubnis
- 3 — Nur Anzeige mit Erlaubnis
- 4 — Nur Anzeige ohne Erlaubnis (im Angriff genutzt)
Zusätzlich passten sie Windows Defender Firewall-Regeln für RDP-Ports an.
Sitzungs-Hijack-Befehl: mstsc /shadow:SESSION_ID /control /noConsentPrompt.
Wichtige Windows-Log-Ereignisse
Überwachen Sie diese Event-IDs, um Shadow RDP zu erkennen:
- Event-ID 20508 — Shadow-Ansichtsberechtigung erteilt
- Event-ID 20503 — Shadow-Ansichtssitzung gestartet
- Event-ID 20504 — Shadow-Ansichtssitzung beendet
Weitere Protokolle zur Untersuchung:
| Quelle | Event-ID | Erfassen |
|--------|----------|----------|
| Security (Admin-Workstation) | 4657 | Shadow/ShadowNotification-Registryänderungen |
| PowerShell Operational | 4103 | Set-ItemProperty für Registry |
| TerminalServices-LocalSessionManager | 20503 | Shadow-Sitzungsstart |
| TerminalServices-LocalSessionManager | 20504 | Shadow-Sitzungsende |
| Azure AD Anmeldung | — | Sitzungsdauer |
| Azure AD Anmeldung | — | Kein MFA bei IP-Wechsel |
Schutzmaßnahmen und Gegenstrategien
- GPO zum Deaktivieren von Shadow RDP: Shadow=0 auf nicht essentiellen Hosts setzen.
- RDP-Sitzungen begrenzen: GPO „Zeitlimit für aktive, aber leerlaufende Terminal Services-Sitzungen“ — 8 Stunden, mit Zwangsabbruch.
- Azure AD Conditional Access:
* MFA-Häufigkeit: Alle 1–2 Stunden.
* Neuauthentifizierung bei IP-Wechseln.
* „Angemeldet bleiben“ für privilegierte Rollen blockieren.
- RDP-Hosts abhärten:
* Restricted Admin Mode.
* Credential Guard.
* Remote Credential Guard.
- PAW/PAM-Workstations: Isolierte Admin-Maschinen, Neustart nach Nutzung, kein Internet/E-Mail.
- SIEM/SOAR-Überwachung:
* Registry-Änderungen.
* Event-IDs 20503/20504.
* Korrelation von Cloud- und On-Prem-Protokollen.
Wichtige Erkenntnisse
- MFA schützt nicht vor Sitzungs-Hijacks – konzentrieren Sie sich auf Sitzungsdauer und Prozessüberwachung.
- Shadow RDP ist eine legitime Funktion; erkennen Sie sie über Registry-Anpassungen und Event-IDs 20503+.
- Hybride Umgebungen erfordern Korrelation von Azure-AD- und Windows-Protokollen.
- Conditional Access mit häufigem MFA ist die Basis gegen Sitzungs-Hijacking.
- PAW verkleinert die Angriffsfläche Ihrer Endgeräte.
— Editorial Team
Noch keine Kommentare.