दूसरे दिन, एक सुरक्षा शोधकर्ता ने माइक्रोसॉफ्ट विंडोज रिमोट डेस्कटॉप प्रोटोकॉल (आरडीपी) में एक नई भेद्यता का विवरण दिया।
भेद्यता CVE-2019-9510 दूरस्थ डेस्कटॉप सत्रों में लॉक स्क्रीन को बायपास करने के लिए क्लाइंट पर हमलावरों को अनुमति देता है।
कार्नेगी मेलन यूनिवर्सिटी सॉफ्टवेयर डेवलपमेंट इंस्टीट्यूट के जो टैमरिएलो ने इस भेद्यता की खोज की। भेद्यता का फायदा उठाने के लिए, RDP प्रमाणीकरण के लिए नेटवर्क स्तर प्रमाणीकरण (NLA) आवश्यक है। वैसे, यह एनएलए था कि Microsoft ने खुद हाल ही में BlueKeep RDP भेद्यता (CVE-2019-0708) के खिलाफ सुरक्षा के लिए सिफारिश की थी।
विल डोरमैन के रूप में, सीईआरटी / सीसी के एक विश्लेषक ने पुष्टि की, यदि नेटवर्क विसंगति एक अस्थायी आरडीपी डिस्कनेक्ट करता है जब क्लाइंट पहले से ही सर्वर से जुड़ा हुआ है, लेकिन लॉगिन स्क्रीन लॉक है, "पुन: कनेक्ट करने के बाद, आरडीपी सत्र को अपनी पिछली स्थिति में बहाल किया जाएगा ( खिड़की के साथ खुला), कोई फर्क नहीं पड़ता कि रिमोट सिस्टम कैसे छोड़ा गया। "
डोरमैन
अपने लेख में बताते हैं, "विंडोज 10 1803 और विंडोज सर्वर 2019 से शुरू होकर, एनएलए आधारित आरडीपी सत्र प्रसंस्करण इस तरह से बदल गया है कि यह अप्रत्याशित सत्र अवरुद्ध व्यवहार को जन्म दे सकता है।"
“टू-फैक्टर ऑथेंटिकेशन सिस्टम जो विंडोज लॉगिन स्क्रीन के साथ एकीकृत होता है, जैसे डुओ सिक्योरिटी एमएफए, इस तंत्र के आसपास भी काम कर सकता है। संगठन द्वारा उपयोग किए जाने वाले किसी भी लॉगिन बैनर को भी बाईपास किया जाएगा। ”
अवधारणा का प्रमाण
KPN सुरक्षा अनुसंधान टीम के लिएंड्रो
वेलास्को का एक वीडियो दर्शाता है कि इस भेद्यता का फायदा उठाना कितना आसान है।
CERT हमले के परिदृश्य का वर्णन इस प्रकार है:
- उपयोगकर्ता RDS के माध्यम से विंडोज 10 या सर्वर 2019 से जुड़ता है।
- उपयोगकर्ता दूरस्थ सत्र को ब्लॉक करता है और क्लाइंट डिवाइस को बिना उपयोग किए छोड़ देता है।
- इस बिंदु पर, एक क्लाइंट डिवाइस तक पहुंच के साथ एक हमलावर नेटवर्क कनेक्शन को बाधित कर सकता है और किसी भी क्रेडेंशियल्स की आवश्यकता के बिना किसी दूरस्थ सिस्टम तक पहुंच प्राप्त कर सकता है।
इसका मतलब है कि इस भेद्यता का दोहन बहुत तुच्छ है, क्योंकि हमलावर को लक्ष्य प्रणाली के नेटवर्क कनेक्शन को बाधित करने की आवश्यकता है।
हालाँकि, जब किसी हमलावर को ऐसी लक्ष्य प्रणाली (यानी एक लॉक स्क्रीन के साथ एक सक्रिय सत्र) के लिए भौतिक पहुंच की आवश्यकता होती है, तो स्क्रिप्ट स्वयं बहुत ही सीमित संख्या में मामलों तक पहुंचती है।
टेमरिएलो ने 19 अप्रैल को माइक्रोसॉफ्ट को इस भेद्यता के बारे में सूचित किया, लेकिन कंपनी ने जवाब दिया कि "व्यवहार विंडोज के लिए Microsoft सुरक्षा सर्विसिंग मानदंड का अनुपालन नहीं करता है", जिसका अर्थ है कि निकट भविष्य में समस्या को ठीक करने के लिए तकनीकी दिग्गज की कोई योजना नहीं है।
हालांकि, उपयोगकर्ता रिमोट सिस्टम के बजाय स्थानीय सिस्टम को अवरुद्ध करके और केवल उन्हें लॉक करने के बजाय दूरस्थ डेस्कटॉप सत्रों को डिस्कनेक्ट करके इस भेद्यता के संभावित शोषण से खुद की रक्षा कर सकते हैं।