Beberapa hari yang lalu, seorang peneliti keamanan mengungkapkan rincian kerentanan baru di Microsoft Windows Remote Desktop Protocol (RDP).
Kerentanan CVE-2019-9510 memungkinkan penyerang di sisi klien untuk memotong layar kunci dalam sesi desktop jarak jauh.
Joe Tammariello dari Institut Pengembangan Perangkat Lunak Universitas Carnegie Mellon menemukan kerentanan ini. Untuk mengeksploitasi kerentanan, Otentikasi Tingkat Jaringan (NLA) diperlukan untuk otentikasi RDP. By the way, itu NLA bahwa Microsoft sendiri baru-baru ini direkomendasikan untuk perlindungan terhadap kerentanan BlueKeep RDP (CVE-2019-0708).
Seperti Will Dormann, seorang analis di CERT / CC mengonfirmasi, jika anomali jaringan menyebabkan pemutusan RDP sementara ketika klien telah terhubung ke server tetapi layar login terkunci, "setelah menghubungkan kembali, sesi RDP akan dikembalikan ke keadaan sebelumnya ( dengan jendela tidak dikunci), tidak peduli bagaimana sistem remote dibiarkan. "
"Dimulai dengan Windows 10 1803 dan Windows Server 2019, pemrosesan sesi RDP berbasis NLA telah berubah sedemikian rupa sehingga dapat menyebabkan perilaku memblokir sesi yang tidak terduga," Dormann menjelaskan dalam
artikelnya .
βSistem otentikasi dua faktor yang terintegrasi dengan layar masuk Windows, seperti Duo Security MFA, juga dapat mengatasi mekanisme ini. Setiap spanduk masuk yang digunakan oleh organisasi juga akan dilewati. "
Bukti konsep
Sebuah video dari
Leandro Velasco dari tim peneliti KPN Security menunjukkan betapa mudahnya mengeksploitasi kerentanan ini.
CERT menggambarkan skenario serangan sebagai berikut:
- Pengguna terhubung ke Windows 10 atau Server 2019 melalui RDS.
- Pengguna memblokir sesi jarak jauh dan meninggalkan perangkat klien tanpa pengawasan.
- Pada titik ini, seorang penyerang dengan akses ke perangkat klien dapat mengganggu koneksi jaringan dan mendapatkan akses ke sistem jarak jauh tanpa memerlukan kredensial.
Ini berarti bahwa mengeksploitasi kerentanan ini sangat sepele, karena penyerang hanya perlu mengganggu koneksi jaringan dari sistem target.
Namun, karena penyerang membutuhkan akses fisik ke sistem target seperti itu (yaitu, sesi aktif dengan layar terkunci), skrip itu sendiri mendekati jumlah kasus yang sangat terbatas.
Tammariello memberi tahu Microsoft tentang kerentanan ini pada 19 April, tetapi perusahaan itu menjawab bahwa "perilaku tersebut tidak sesuai dengan Kriteria Servis Keamanan Microsoft untuk Windows", yang berarti bahwa raksasa teknologi itu tidak memiliki rencana untuk memperbaiki masalah dalam waktu dekat.
Namun, pengguna dapat melindungi diri mereka sendiri dari kemungkinan eksploitasi kerentanan ini dengan memblokir sistem lokal alih-alih sistem jarak jauh dan memutuskan sesi desktop jarak jauh alih-alih hanya menguncinya.