L'autre jour, un chercheur en sécurité a révélé les détails d'une nouvelle vulnérabilité dans le protocole RDP (Microsoft Windows Remote Desktop Protocol).
La vulnérabilité CVE-2019-9510 permet aux attaquants côté client de contourner l'écran de verrouillage dans les sessions de bureau à distance.
Joe Tammariello du Carnegie Mellon University Software Development Institute a découvert cette vulnérabilité. Pour exploiter cette vulnérabilité, l'authentification au niveau du réseau (NLA) est requise pour l'authentification RDP. À propos, c'est NLA que Microsoft lui-même a récemment recommandé de protéger contre la vulnérabilité BlueKeep RDP (CVE-2019-0708).
Comme le confirme Will Dormann, un analyste du CERT / CC, si une anomalie de réseau provoque une déconnexion RDP temporaire lorsque le client est déjà connecté au serveur mais que l'écran de connexion est verrouillé, «après la reconnexion, la session RDP sera restaurée à son état précédent ( avec la fenêtre déverrouillée), peu importe comment le système distant a été laissé. "
«Depuis Windows 10 1803 et Windows Server 2019, le traitement de session RDP basé sur NLA a changé de telle manière qu'il peut conduire à un comportement de blocage de session inattendu», explique Dormann dans
son article .
«Les systèmes d'authentification à deux facteurs qui s'intègrent à l'écran de connexion Windows, tels que Duo Security MFA, peuvent également contourner ce mécanisme. Toutes les bannières de connexion utilisées par l'organisation seront également ignorées. »
Preuve de concept
Une vidéo de
Leandro Velasco de l'équipe de recherche KPN Security montrant à quel point il est facile d'exploiter cette vulnérabilité.
CERT décrit le scénario d'attaque comme suit:
- L'utilisateur se connecte à Windows 10 ou Server 2019 via RDS.
- L'utilisateur bloque la session distante et laisse le périphérique client sans surveillance.
- À ce stade, un attaquant ayant accès à un appareil client peut interrompre une connexion réseau et accéder à un système distant sans avoir besoin de données d'identification.
Cela signifie que l'exploitation de cette vulnérabilité est très triviale, car l'attaquant n'a qu'à interrompre la connexion réseau du système cible.
Cependant, puisqu'un attaquant a besoin d'un accès physique à un tel système cible (c'est-à-dire une session active avec un écran verrouillé), le script lui-même approche un nombre très limité de cas.
Tammariello a notifié cette vulnérabilité à Microsoft le 19 avril, mais la société a répondu que "le comportement n'est pas conforme aux critères de sécurité de Microsoft pour Windows", ce qui signifie que le géant de la technologie n'a pas l'intention de résoudre le problème dans un proche avenir.
Cependant, les utilisateurs peuvent se protéger de l'exploitation possible de cette vulnérabilité en bloquant le système local au lieu du système distant et en déconnectant les sessions de bureau à distance au lieu de simplement les verrouiller.