Windows Remote Desktop hinterlässt Bildfragmente, die Angreifer zu Screenshots zusammenfügen können

Wenn Ihr Team das Remote Desktop Protocol (RDP) verwendet, hinterlassen Sie möglicherweise eine Spur hochsensibler Daten. Das RDP Bitmap Cache Risiko Windows verwendet eine eingebaute Leistungsfunktion namens RDP Bitmap Cache, um das Laden.

Dieser Cache speichert kleine Bildkacheln Ihrer aktiven Sitzung direkt auf Ihrer lokalen Festplatte. Angreifer können vergangene Remote-Desktop-Sitzungen rekonstruieren (Quelle: scythe).

Stellen Sie es sich vor wie einen Webbrowser, der Website-Thumbnails speichert, um die Ladezeiten zu beschleunigen. Allerdings erfassen diese RDP-Kacheln alles, was während der Remote-Sitzung auf Ihrem Bildschirm sichtbar war.

Technik und Auswirkungen

Dies umfasst offene interne Tools, vertrauliche Dokumente, E-Mail-Postfächer und sogar Anmeldeinformationen, die in sichtbare Felder eingegeben wurden. Das kritische Problem ist, dass dieser Cache lange nach Beendigung der Verbindung auf der Festplatte verbleibt.

Er befindet sich in einem Standard-Benutzerverzeichnis, was bedeutet, dass Angreifer keine Administratorrechte benötigen, um auf die Dateien zuzugreifen. bmc-tools teilt den Cache in Tausende winziger Bild-Tiles (Quelle: scythe) auf.

Laut aktueller Bedrohungsforschung macht RDP fast ein Drittel der gesamten Sicherheitsvorfälle auf der globalen Unternehmensangriffsfläche aus. Bedrohungsgruppen wie BianLian, Medusa und Scattered Spider nutzen häufig den RDP-Zugriff aus und verwandeln diesen Standard-Cache in ein leistungsstarkes und unentdecktes Aufklärungswerkzeug.

Technik und Auswirkungen

Bilder extrahieren und wiederherstellen Gegner können das Cache-Verzeichnis leicht finden, da es sich immer im lokalen Anwendungsdatenpfad auf jeder Windows-Maschine befindet. Sie verwenden typischerweise einen einfachen PowerShell-Befehl, um das Cache-Verzeichnis in ein Zip-Archiv zu komprimieren.

Angreifer exfiltrieren dieses Archiv dann über standardmäßiges HTTPS, was sich leicht in normalen ausgehenden Netzwerkverkehr einfügt, bevor sie die zip-Datei löschen, um ihre Spuren zu verwischen. Sobald die Angreifer die extrahierten Dateien besitzen, verlassen sie sich auf zwei Open-Source-Tools, um die gestohlenen Daten zu visualisieren.

Zuerst parst eine Anwendung wie bmc-tools die rohen Cache-Dateien in Tausende winziger Bildkacheln. Anschließend arrangiert ein Visualisierungstool wie RdpCacheStitcher diese verstreuten Kacheln wie ein Puzzle, um den ursprünglichen Sitzungsbildschirm wiederherzustellen.

Sicherheitslage und Risiko

RdpCacheStitcher fügt Kacheln zu lesbaren, wenn auch unvollkommenen, Screenshots zusammen (Quelle: scythe). Selbst teilweise Bildrekonstruktionen offenbaren oft genügend Umweltdetails, um die nächste Phase eines Cyberangriffs zu befeuern.

Dieser Cache dient als wichtiger Kompromittindikator, selbst wenn Angreifer versuchen, ihre Spuren zu verbergen. Bedrohungsakteure, die während eines Eindringens RDP verwenden, löschen oft das gesamte Cache-Verzeichnis, bevor sie sich abmelden.

Das Auffinden eines leeren Bitmap-Cache auf einer Workstation mit langer Vorgeschichte der Nutzung äußerst verdächtig. Sicherheitsteams sollten diese plötzliche Abwesenheit Signal betrachten, um eine Untersuchung einzuleiten.

Was die Studie zeigt

Die SCYTHE-Forscher betonen, dass man sich gegen diese Exposition verteidigen muss, indem man die Überwachungs-Sichtbarkeit verbessert und die Standard-Systemkonfigurationen anpasst.

Überprüfen Sie, ob Ihre Endpoint-Detection-Systeme unbefugten Zugriff auf den lokalen RDP-Cache-Ordner melden.

Bestätigen Sie, dass ausgehende HTTPS-Übertragungen komprimierter Archive aus temporären Verzeichnissen sofortige Alarme auslösen.

Moegliche Anwendungen

Testen Sie, ob Ihre Sicherheitstools PowerShell-Komprimierungsbefehle erfassen, die auf das lokale Anwendungsdatenverzeichnis abzielen.

Deaktivieren Sie den Cache vollständig mithilfe einer standardmäßigen Windows-Gruppenrichtlinieneinstellung, um das Risiko zu eliminieren.

Fügen Sie Überprüfungen des RDP-Caches Ihrem Standard-Incident-Response-Playbook hinzu, um aktiv nach verdächtig fehlenden Dateien zu suchen.

Der Beitrag Windows Remote Desktop Leaves Behind Image Fragments Attackers Can Stitch Into Screenshots erschien zuerst bei