Neulich enthüllte ein Sicherheitsforscher die Details einer neuen Sicherheitsanfälligkeit im Microsoft Windows Remote Desktop Protocol (RDP).
Sicherheitsanfälligkeit Mit CVE-2019-9510 können Angreifer auf der Clientseite den Sperrbildschirm in Remotedesktopsitzungen umgehen.
Joe Tammariello vom Software Development Institute der Carnegie Mellon University entdeckte diese Sicherheitsanfälligkeit. Um die Sicherheitsanfälligkeit auszunutzen, ist für die RDP-Authentifizierung eine Authentifizierung auf Netzwerkebene (Network Level Authentication, NLA) erforderlich. Übrigens war es NLA, die Microsoft selbst kürzlich zum Schutz vor der BlueKeep RDP-Sicherheitsanfälligkeit empfohlen hat (CVE-2019-0708).
Wie Will Dormann, ein Analyst bei CERT / CC, bestätigt, wird eine RDP-Sitzung nach dem erneuten Herstellen der Verbindung wiederhergestellt, wenn eine Netzwerkanomalie eine vorübergehende RDP-Trennung verursacht, wenn der Client bereits mit dem Server verbunden ist, der Anmeldebildschirm jedoch gesperrt ist. bei geöffnetem Fenster), egal wie das Remote-System verlassen wurde. "
„Ab Windows 10 1803 und Windows Server 2019 hat sich die NLA-basierte RDP-Sitzungsverarbeitung so geändert, dass sie zu unerwartetem Sitzungsblockierungsverhalten führen kann“, erklärt Dormann in
seinem Artikel .
„Zwei-Faktor-Authentifizierungssysteme, die in den Windows-Anmeldebildschirm integriert sind, wie z. B. Duo Security MFA, können diesen Mechanismus ebenfalls umgehen. Alle von der Organisation verwendeten Anmeldebanner werden ebenfalls umgangen. “
Proof of Concept
Ein Video von
Leandro Velasco vom KPN Security-Forschungsteam zeigt, wie einfach es ist, diese Sicherheitsanfälligkeit auszunutzen.
CERT beschreibt das Angriffsszenario wie folgt:
- Der Benutzer stellt über RDS eine Verbindung zu Windows 10 oder Server 2019 her.
- Der Benutzer blockiert die Remotesitzung und lässt das Clientgerät unbeaufsichtigt.
- Zu diesem Zeitpunkt kann ein Angreifer mit Zugriff auf ein Clientgerät eine Netzwerkverbindung unterbrechen und Zugriff auf ein Remote-System erhalten, ohne dass Anmeldeinformationen erforderlich sind.
Dies bedeutet, dass das Ausnutzen dieser Sicherheitsanfälligkeit sehr trivial ist, da der Angreifer nur die Netzwerkverbindung des Zielsystems unterbrechen muss.
Da ein Angreifer jedoch physischen Zugriff auf ein solches Zielsystem benötigt (dh eine aktive Sitzung mit einem gesperrten Bildschirm), nähert sich das Skript selbst einer sehr begrenzten Anzahl von Fällen.
Tammariello hat Microsoft am 19. April über diese Sicherheitsanfälligkeit informiert. Das Unternehmen antwortete jedoch, dass „das Verhalten nicht den Microsoft Security Servicing Criteria für Windows entspricht“, was bedeutet, dass der Technologieriese keine Pläne hat, das Problem in naher Zukunft zu beheben.
Benutzer können sich jedoch vor der möglichen Ausnutzung dieser Sicherheitsanfälligkeit schützen, indem sie das lokale System anstelle des Remotesystems blockieren und Remotedesktopsitzungen trennen, anstatt sie einfach zu sperren.