Специалисты выяснили, что экран блокировки сеанса можно обойти, если применяется авторизация на уровне сети (NLA).
Эксперты Центра реагирования на киберугрозы Университета Карнеги —Меллона предупредили об уязвимости в протоколе удаленного рабочего стола (RDP) Windows. Дыра позволяет обойти экран блокировки сеанса и получить доступ к целевому устройству с правами текущего пользователя.
Баг появился в одном из последних релизов операционной системы и связан с использованием механизма аутентификации на уровне сети (Network Level Authentication, NLA). Специалисты отмечают, что эксплуатация ошибки маловероятна, поскольку требует физического доступа к устройству с открытым RDP-сеансом.
Корень проблемы кроется в некорректном поведении экрана блокировки при подключении к удаленному рабочему столу Windows 10 1803 и Windows Server 2019. Как выяснили ИБ-аналитики, в случае использования NLA кратковременный разрыв связи приведет к ее автоматическому восстановлению под учетными данными текущего пользователя. При этом блокировка экрана исчезнет, а вводить логин и пароль не потребуется.
Специалисты описали следующий сценарий атаки:
Аналитики зарегистрировали баг как CVE-2019-9510 и оценили его в 4,6 балла по шкале CVSS. Разработчиков Microsoft уведомили о проблеме 19 апреля, но они не планируют выпускать для нее патч. Как заявил вендор, уязвимость не соответствует критериям поддержки безопасности, поскольку для атаки необходима предварительная авторизация существующего пользователя. ИБ-специалисты со своей стороны призывают владельцев уязвимых систем не использовать блокировку экрана, а завершать RDP-сеанс, покидая рабочее место.
При этом аутентификация на уровне сети может снизить вероятность распространения червя при атаке BlueKeep. Аналитики Microsoft рекомендовали включить эту службу для дополнительной авторизации при удаленном доступе к рабочему столу. Эксперты отмечают, что поскольку CVE-2019-0708 затрагивает лишь Windows 7 и Windows Server 2008, совместная эксплуатация двух уязвимостей невозможна.