دور زدن قفل ویندوز در RDP

CVE-2019-9510

یک محقق امنیتی اخیرا جزئیاتی از آسیب پذیری ویندوز در بخش Remote Desktop Protocol) RDP) منتشر و با شناسه  CVE-2019-9510 ثبت کرده است که در آن مهاجمان می توانند از lock screen  در Remote Desktop عبور کنند.

این آسیب پذیری توسط Joe Tammariello  در موسسه مهندسی نرم افزار دانشگاه Carnegie Mellon  کشف شده است، این شکاف زمانی اتفاق افتاد که مایکروسافت کاربران خود را برای استفاده از RDP مجبور به احراز هویت توسط NLA کرد. این ویژگی را  مایکروسافت اخیرا به عنوان یک راه حل در برابر آسیب پذیری بحرانی BlueKeep RDP توصیه کرده است.

طبق گفته Will Dormann تحلیلگر آسیب پذیری در CERT / CC:

اگر یک نوسان در شبکه باعث قطع موقت اتصال RDP شود در حالی که یک کاربر به سرور متصل است و صفحه ورود به سیستم قفل شده است، پس از اتصال مجدد، RDP با حالت unlocked  بازیابی می‌شود بدون آنکه در نظر بگیرد سیستم remote چطور محیط را ترک کرده است.

“با آغاز ویندوز 10 نسخه 1803 و ویندوز سرور 2019، مدیریت ویندوز RDP از جلسات RDP مبتنی بر NLA به گونه ای تغییر کرده است که می تواند رفتار غیرمنتظره ای را در رابطه با قفل شدن جلسات ایجاد کند”، Dormann در مشاوره ای که امروز منتشر شده توضیح می دهد.

” سیستم های احراز هویت دو مرحله ای که با صفحه ورود به ویندوز هماهنگ هستند ( مانند Duo Security MFA ) نیز با استفاده از این مکانیزم کنار گذاشته می شوند. هر آگهی ورودی که توسط یک سازمان اجرا می شود نیز از بین می رود.”

Tammariello در تاریخ 19 آوریل این آسیب پذیری را به مایکروسافت اطلاع داد، اما این شرکت پاسخ داد “رفتاری مغایر با معیار سرویس امنیت مایکروسافت برای ویندوز دیده نشده است” و به این معناست که غول تکنولوژی هیچ برنامه ای برای رفع این مشکل در اسرع وقت ندارد.

با این وجود، کاربران می توانند با قفل کردن سیستم محلی به جای قفل کردن سیستم remote و همچنین قطع ارتباط remote از خود در برابر بهره برداری این آسیب پذیری محافظت کنند.

Unpatched Bug Let Attackers Bypass Windows Lock Screen On RDP Sessions