Недавно исследователь безопасности раскрыл подробности новой уязвимости в протоколе удаленного рабочего стола Microsoft Windows (RDP).
Уязвимость CVE-2019-9510 позволяет злоумышленникам на стороне клиента обойти экран блокировки во время сеансов удаленного рабочего стола.
Эту уязвимость обнаружил Джо Таммариелло из Института программной инженерии Университета Карнеги-Меллон.
Чтобы воспользоваться этой уязвимостью, для аутентификации RDP необходимо использовать аутентификацию на уровне сети (NLA).
Кстати, именно NLA недавно рекомендовала сама Microsoft для защиты от уязвимости BlueKeep RDP (CVE-2019-0708).
Как подтверждает Уилл Дорманн, аналитик CERT/CC, если сетевая аномалия приводит к временному отключению RDP, в то время как клиент уже был подключен к серверу, но экран входа в систему заблокирован, то «после повторного подключения сеанс RDP будет восстановлен в исходное состояние».
предыдущее состояние (с разблокированным окном), независимо от того, как удаленная система была оставлена».
«Начиная с Windows 10 1803 и Windows Server 2019 обработка сеансов RDP на основе NLA изменилась таким образом, что может привести к неожиданному поведению блокировки сеанса», — объясняет Дорманн в его статья .
«Системы двухфакторной аутентификации, которые интегрируются с экраном входа в Windows, такие как Duo Security MFA, также можно обойти с помощью этого механизма.
Любые баннеры для входа, используемые организацией, также будут обойдены».
Доказательство концепции
Видео из Леандро Веласко от исследовательской группы KPN Security, демонстрируя, насколько легко воспользоваться этой уязвимостью.CERT описывает сценарий атаки следующим образом:
- Пользователь подключается к системе Windows 10 или Server 2019 через RDS.
- Пользователь блокирует удаленный сеанс и оставляет клиентское устройство без присмотра.
- На этом этапе злоумышленник, имеющий доступ к клиентскому устройству, может прервать сетевое соединение и получить доступ к удаленной системе, не требуя никаких учетных данных.
Однако, поскольку злоумышленнику требуется физический доступ к такой целевой системе (т.е.
активный сеанс с заблокированным экраном), сам скрипт подходит для очень ограниченного числа случаев.
Таммариелло уведомил Microsoft об уязвимости 19 апреля, но компания ответила, что «поведение не соответствует критериям Microsoft Security Service Criteria для Windows», то есть технический гигант не планирует устранять проблему в ближайшее время.
Однако пользователи могут защитить себя от потенциального использования этой уязвимости, заблокировав локальную систему вместо удаленной системы и отключив сеансы удаленного рабочего стола вместо простой блокировки.
Теги: #информационная безопасность #уязвимость #Windows #RDP
-
Странные Дела С Хаброй
19 Oct, 24
