Hackers podem ignorar o Windows Lockscreen em sessões de RDP

Hackers podem ignorar o Windows Lockscreen em sessões de RDP. O recurso NLA (Network Level Authentication) dos Serviços de Área de Trabalho Remota do Windows pode permitir que um hacker contorne a tela de bloqueio em sessões remotas, e não há nenhum patch da Microsoft, alertou o Centro de Coordenação CERT da Carnegie Mellon University na terça-feira, dia 04 de junho, segundo o site Security Week.

A área de trabalho remota do Microsoft Windows oferece suporte a um recurso chamado NLA (Autenticação em Nível de Rede), que move o aspecto de autenticação de uma sessão remota da camada RDP para a camada de rede. O uso de NLA é recomendado para reduzir a superfície de ataque dos sistemas expostos usando o protocolo RDP. Quando um usuário se conecta a um sistema remoto por meio do RDS, ele pode bloquear a sessão de maneira semelhante à maneira como as sessões podem ser bloqueadas localmente no Windows.

Devido a vulnerabilidade RDS crítica rastreada como BlueKeep e CVE-2019-0708 , a Microsoft recentemente recomendou o NLA como uma solução alternativa.

Joe Tammariello, do Instituto de Engenharia de Software da Carnegie Mellon University, descobriu uma vulnerabilidade que pode ser explorada para contornar a tela de bloqueio em uma sessão do RDS. A falha, rastreada como CVE-2019-9510 e atribuída uma pontuação CVSS de 4,6 (gravidade média), afeta as versões do Windows iniciadas com o Windows 10 1803 e o Server 2019.

Se uma anomalia de rede desencadear uma desconexão temporária de RDP, após a reconexão automática, a sessão RDP será restaurada para um estado desbloqueado, independentemente de como o sistema remoto foi deixado”, explicou CERT / CC em um comunicado .

A partir do Windows 10 1803 e do Windows Server 2019, o processamento do RDP do Windows de sessões RDP baseadas em NLA foi alterado de uma maneira que poderia causar um comportamento inesperado em relação ao bloqueio de sessão.

Se uma anomalia de rede disparar uma desconexão temporária de RDP, após a reconexão automática, a sessão RDP será restaurada para um estado desbloqueado, independentemente de como o sistema remoto foi deixado. Por exemplo, considere as seguintes etapas:

  • O usuário se conecta ao Windows 10 1803 remoto ou ao Servidor 2019 ou a um sistema mais novo usando o RDP.
  • O usuário bloqueia a sessão da área de trabalho remota.
  • O usuário deixa a vizinhança física do sistema que está sendo usado como um cliente RDP

Nesse ponto, um invasor pode interromper a conectividade de rede do sistema do cliente RDP, o que resultará na sessão com o sistema remoto sendo desbloqueado sem exigir nenhuma credencial. 

Sistemas de autenticação de dois fatores que se integram à tela de login do Windows, como o Duo Security MFA, também são ignorados usando esse mecanismo.

O pesquisador testou apenas o Duo Security MFA, mas “suspeita que o MFA de todos os fornecedores que aproveita a tela de login do Windows seja afetado por esse problema. Todos os banners de login aplicados por uma organização também serão ignorados.

Tammariello relatou suas descobertas à Microsoft, mas a empresa aparentemente não planeja consertar a vulnerabilidade tão cedo.

Depois de investigar este cenário, determinamos que esse comportamento não atende aos Critérios do Serviço de Segurança da Microsoft para o Windows“, disse a Microsoft, de acordo com o analista de vulnerabilidade do CERT / CC, Will Dormann .

Os usuários podem se proteger contra possíveis ataques por meio de dois métodos: bloquear o sistema local em vez do sistema remoto e desconectar a sessão do RDS em vez de bloqueá-la.

Fonte: Security Week & Carnegie Mellon University - Cert Coordination Center

Veja também:

Sobre mindsecblog 2399 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

2 Trackbacks / Pingbacks

  1. Novo golpe "rouba" WhatsApp do seu celular
  2. O que é a Web Invisível?

Deixe sua opinião!