远程桌面服务0day漏洞安全通告
发布时间 2019-06-05漏洞编号和级别
CVE编号:CVE-2019-9510,危险级别:中危,CVSS分值:4.6
影响版本
受影响的版本
Windows 10 1803或Server 2019或更新的系统
漏洞概述
研究人员发现一个新0day,可导致攻击者劫持现有的远程桌面服务会话,获取对计算机的访问权限。该0day可被用于绕过Windows设备的锁屏,即使双因素认证如Duo Security MFA开启也不例外。组织机构可能设置的其它登录配置也可遭绕过。
Microsoft Windows远程桌面支持称为网络级别身份验证(NLA)的功能,该功能可将远程会话的身份验证方面从RDP层移至网络层。建议使用NLA来减少使用RDP协议暴露的系统的攻击面。在Windows中,可以锁定会话,向用户显示需要身份验证才能继续使用会话的屏幕。会话锁定可以通过RDP发生,其方式与锁定本地会话的方式相同。
从Windows 10 1803(2018年4月发布)和Windows Server 2019开始,基于NLA的RDP会话的处理方式发生了变化,导致会话锁定方面的意外行为。如果网络异常触发临时RDP断开连接,则在自动重新连接时,无论远程系统如何离开,RDP会话都将恢复到解锁状态。例如,请考虑以下步骤:
用户使用RDP连接到远程Windows 10 1803或Server 2019或更新的系统。
用户锁定远程桌面会话。
用户离开并留下RDP客户端
此时,攻击者可以中断RDP客户端系统的网络连接。一旦恢复互联网连接,RDP客户端软件将自动重新连接到远程系统。但由于此漏洞,重新连接的RDP会话将还原到登录桌面而不是登录屏幕。这意味着远程系统解锁而无需手动输入任何凭据。
漏洞验证
暂无POC/EXP。
修复建议
目前微软并未打算近期修复,用户可通过锁定本地系统而非远程系统的方式,或通过断开远程桌面会话而非仅锁定会话的方式避免遭该漏洞影响。
参考链接
https://www.bleepingcomputer.com/news/security/remote-desktop-zero-day-bug-allows-attackers-to-hijack-sessions/
京公网安备11010802024551号