Outro dia, um pesquisador de segurança revelou os detalhes de uma nova vulnerabilidade no RDP (Microsoft Windows Remote Desktop Protocol).
Vulnerabilidade O CVE-2019-9510 permite que os atacantes do lado do cliente ignorem a tela de bloqueio nas sessões da área de trabalho remota.
Joe Tammariello, do Instituto de Desenvolvimento de Software da Universidade Carnegie Mellon, descobriu esta vulnerabilidade. Para explorar a vulnerabilidade, é necessária a autenticação no nível da rede (NLA) para autenticação RDP. A propósito, foi o NLA que a própria Microsoft recomendou recentemente para proteção contra a vulnerabilidade RDP do BlueKeep (CVE-2019-0708).
Como Will Dormann, analista do CERT / CC, confirma que, se uma anomalia na rede causar uma desconexão temporária do RDP quando o cliente já estiver conectado ao servidor, mas a tela de login estiver bloqueada, "após a reconexão, a sessão do RDP será restaurada ao seu estado anterior ( com a janela destrancada), não importa como o sistema remoto foi deixado ".
“A partir do Windows 10 1803 e do Windows Server 2019, o processamento da sessão RDP baseado em NLA mudou de tal forma que pode levar a um comportamento inesperado de bloqueio de sessão”, explica Dormann em
seu artigo .
“Os sistemas de autenticação de dois fatores que se integram à tela de login do Windows, como o Duo Security MFA, também podem solucionar esse mecanismo. Quaisquer banners de login usados pela organização também serão ignorados. ”
Prova de conceito
Um vídeo de
Leandro Velasco, da equipe de pesquisa da KPN Security, demonstrando como é fácil explorar essa vulnerabilidade.
O CERT descreve o cenário de ataque da seguinte maneira:
- O usuário se conecta ao Windows 10 ou Server 2019 através do RDS.
- O usuário bloqueia a sessão remota e deixa o dispositivo cliente autônomo.
- Nesse ponto, um invasor com acesso a um dispositivo cliente pode interromper uma conexão de rede e obter acesso a um sistema remoto sem a necessidade de credenciais.
Isso significa que explorar essa vulnerabilidade é muito trivial, porque o invasor só precisa interromper a conexão de rede do sistema de destino.
No entanto, como um invasor precisa de acesso físico a um sistema de destino (ou seja, uma sessão ativa com uma tela bloqueada), o próprio script aborda um número muito limitado de casos.
Tammariello notificou a Microsoft sobre essa vulnerabilidade em 19 de abril, mas a empresa respondeu que "o comportamento não está de acordo com os Critérios de Manutenção de Segurança da Microsoft para Windows", o que significa que a gigante da tecnologia não planeja corrigir o problema no futuro próximo.
No entanto, os usuários podem se proteger da possível exploração dessa vulnerabilidade, bloqueando o sistema local em vez do sistema remoto e desconectando as sessões da área de trabalho remota em vez de simplesmente bloqueá-las.