في اليوم الآخر ، كشف باحث أمني عن تفاصيل الثغرة الجديدة في Microsoft Windows Remote Desktop Protocol (RDP).
تسمح نقاط الضعف CVE-2019-9510 للمهاجمين من جانب العميل بتجاوز شاشة القفل في جلسات سطح المكتب البعيد.
اكتشف جو تماريلو من معهد تطوير البرمجيات بجامعة كارنيجي ميلون هذه الثغرة الأمنية. لاستغلال مشكلة عدم الحصانة ، مطلوب مصادقة مستوى الشبكة (NLA) لمصادقة RDP. بالمناسبة ، كانت NLA هي التي أوصت بها Microsoft نفسها مؤخرًا للحماية من مشكلة عدم حصانة BlueKeep RDP (CVE-2019-0708).
كما يؤكد Will Dormann ، المحلل في CERT / CC ، إذا تسببت إحدى الحالات الشاذة في الشبكة في قطع اتصال RDP مؤقت عندما يكون العميل متصلاً بالخادم بالفعل ولكن شاشة تسجيل الدخول مقفلة ، "بعد إعادة الاتصال ، ستتم استعادة جلسة RDP إلى حالتها السابقة ( مع فتح النافذة) ، بغض النظر عن كيفية ترك النظام البعيد. "
يشرح دورمان في
مقالته: "بدءًا من Windows 10 1803 و Windows Server 2019 ، تغيرت معالجة جلسة RDP المستندة إلى NLA بطريقة يمكن أن تؤدي إلى سلوك غير متوقع لحظر الجلسة".
"أنظمة المصادقة ثنائية العوامل التي تتكامل مع شاشة تسجيل الدخول إلى Windows ، مثل Duo Security MFA ، يمكنها أيضًا حل هذه الآلية. سيتم أيضًا تجاوز أي لافتات تسجيل الدخول تستخدمها المنظمة. "
دليل على المفهوم
فيديو من
Leandro Velasco من فريق أبحاث KPN Security يوضح مدى سهولة استغلال هذه الثغرة الأمنية.
يصف CERT سيناريو الهجوم كما يلي:
- يتصل المستخدم بـ Windows 10 أو Server 2019 من خلال RDS.
- المستخدم بحظر جلسة العمل البعيدة ويترك الجهاز العميل دون مراقبة.
- في هذه المرحلة ، يمكن للمهاجمين الذين لديهم حق الوصول إلى جهاز عميل مقاطعة اتصال الشبكة والوصول إلى نظام بعيد دون الحاجة إلى أي بيانات اعتماد.
هذا يعني أن استغلال مشكلة عدم الحصانة هذه أمر تافه للغاية ، لأن المهاجم يحتاج فقط إلى مقاطعة اتصال شبكة النظام الهدف.
ومع ذلك ، نظرًا لأن المهاجم يحتاج إلى الوصول الفعلي إلى مثل هذا النظام المستهدف (أي جلسة نشطة مع شاشة مقفلة) ، فإن البرنامج النصي نفسه يقترب من عدد محدود للغاية من الحالات.
أخطر Tammariello Microsoft بهذه الثغرة الأمنية في 19 أبريل ، لكن الشركة ردت بأن "السلوك لا يتوافق مع معايير خدمات أمان Microsoft لنظام التشغيل Windows" ، مما يعني أن عملاق التقنية ليس لديه خطط لإصلاح المشكلة في المستقبل القريب.
ومع ذلك ، يمكن للمستخدمين حماية أنفسهم من الاستغلال المحتمل لهذه الثغرة الأمنية عن طريق حظر النظام المحلي بدلاً من النظام البعيد وفصل جلسات عمل سطح المكتب البعيد بدلاً من قفلها.