Эксперты обнаружили очередную RDP-уязвимость в Windows

05 июня 2019 г., среда

Специалисты выяснили, что экран блокировки сеанса можно обойти, если применяется авторизация на уровне сети (NLA).

Эксперты Центра реагирования на киберугрозы Университета Карнеги —Меллона предупредили об уязвимости в протоколе удаленного рабочего стола (RDP) Windows. Дыра позволяет обойти экран блокировки сеанса и получить доступ к целевому устройству с правами текущего пользователя.

Баг появился в одном из последних релизов операционной системы и связан с использованием механизма аутентификации на уровне сети (Network Level Authentication, NLA). Специалисты отмечают, что эксплуатация ошибки маловероятна, поскольку требует физического доступа к устройству с открытым RDP-сеансом.

Корень проблемы кроется в некорректном поведении экрана блокировки при подключении к удаленному рабочему столу Windows 10 1803 и Windows Server 2019. Как выяснили ИБ-аналитики, в случае использования NLA кратковременный разрыв связи приведет к ее автоматическому восстановлению под учетными данными текущего пользователя. При этом блокировка экрана исчезнет, а вводить логин и пароль не потребуется.

Специалисты описали следующий сценарий атаки:

  1. Легитимный пользователь устанавливает RDP-сеанс с целевым устройством, после чего блокирует экран и покидает рабочее место.
  2. Злоумышленник с физическим доступом к компьютеру пользователя производит кратковременный разрыв соединения.
  3. В случае использования аутентификации на уровне сети сеанс восстановится без блокировки экрана.

Аналитики зарегистрировали баг как CVE-2019-9510 и оценили его в 4,6 балла по шкале CVSS. Разработчиков Microsoft уведомили о проблеме 19 апреля, но они не планируют выпускать для нее патч. Как заявил вендор, уязвимость не соответствует критериям поддержки безопасности, поскольку для атаки необходима предварительная авторизация существующего пользователя. ИБ-специалисты со своей стороны призывают владельцев уязвимых систем не использовать блокировку экрана, а завершать RDP-сеанс, покидая рабочее место.

При этом аутентификация на уровне сети может снизить вероятность распространения червя при атаке BlueKeep. Аналитики Microsoft рекомендовали включить эту службу для дополнительной авторизации при удаленном доступе к рабочему столу. Эксперты отмечают, что поскольку CVE-2019-0708 затрагивает лишь Windows 7 и Windows Server 2008, совместная эксплуатация двух уязвимостей невозможна.

Threatpost