Метод обійти екран блокування Windows на сеансах RDP

Днями дослідник безпеки розкрив деталі нової уразливості в протоколі віддаленого робочого столу Microsoft Windows (RDP).

Уразливість CVE-2019-9510 дозволяє зловмисникам на стороні клієнта обійти екран блокування в сеансах віддаленого робочого столу.

Джо Таммаріелло (Joe Tammariello) з Інституту розробки програмного забезпечення Університету Карнегі-Меллона виявив дану уразливість. Для використання уразливості необхідно, щоб для аутентифікації RDP використовувався Network Level Authentication (NLA). До речі, саме NLA недавно самі Microsoft рекомендували для захисту від вразливості BlueKeep RDP (CVE-2019-0708).

Як підтверджує Уїлл Дорманн (Will Dormann), аналітик з CERT/CC, якщо аномалія мережі викликає тимчасове роз’єднання RDP, коли клієнт вже був підключений до сервера, але екран входу в систему заблокований, то “після перепідключення сеанс RDP буде відновлений до попереднього стану (з розблокованим вікном), незалежно від того, як віддалена система була залишена”.

«Починаючи з Windows 10 1803 і Windows Server 2019, обробка RDP сеансів на основі NLA змінилася таким чином, що це може привести до несподіваної поведінки щодо блокування сеансів», – пояснює Дорманн в своїй статті.

«Системи двофакторної аутентифікації, які інтегруються з екраном входу Windows, такі як Duo Security MFA, також можуть обходитися за допомогою цього механізму. Будь-які банери входу в систему, що застосовуються організацією, також будуть обійдені».

Proof of Concept

Відео від Леандро Веласко з дослідницької групи KPN Security, яке демонструє, як легко використовувати цю уразливість.

CERT описує сценарій атаки наступним чином:

  • Користувач підключається до системи Windows 10 або Server 2019 через RDS.
  • Користувач блокує віддалений сеанс і залишає клієнтський пристрій без нагляду.
  • На цьому етапі зловмисник, який має доступ до клієнтського пристрою, може перервати підключення до мережі і отримати доступ до віддаленої системи без необхідності будь-яких облікових даних.

Це означає, що використання цієї уразливості дуже тривіально, оскільки зловмисникові просто потрібно перервати з’єднання з мережею цільової системи.

Однак, оскільки зловмисникові потрібен фізичний доступ до такої цільової системи (тобто до активної розмови із заблокованим екраном), сам сценарій підходить дуже обмеженому числу кейсів.

Таммаріелло повідомив Microsoft про цю уразливість 19 квітня, але компанія відповіла, що «поведінка не відповідає Microsoft Security Servicing Criteria для Windows», що означає, що технічний гігант не планує виправляти проблему найближчим часом.

Однак користувачі можуть захистити себе від можливого використання цієї уразливості, блокуючи локальну систему замість віддаленої системи і відключаючи сеанси віддаленого робочого столу замість простого блокування.

Джерело: habr.com