首頁 > 安全研究 > 安全通報 > 安全通告

遠程桌面服務0day漏洞安全通告

發布時間 2019-06-05

漏洞編號和級別


CVE編號:CVE-2019-9510,危險級別:中危,CVSS分值:4.6


影響版本


受影響的版本


Windows 10 1803或Server 2019或更新的系統


漏洞概述


研究人員發現一個新0day,可導致攻擊者劫持現有的遠程桌面服務會話,獲取對計算機的訪問權限。該0day可被用于繞過Windows設備的鎖屏,即使雙因素認證如Duo Security MFA開啟也不例外。組織機構可能設置的其它登錄配置也可遭繞過。


Microsoft Windows遠程桌面支持稱為網絡級別身份驗證(NLA)的功能,該功能可將遠程會話的身份驗證方面從RDP層移至網絡層。建議使用NLA來減少使用RDP協議暴露的系統的攻擊面。在Windows中,可以鎖定會話,向用戶顯示需要身份驗證才能繼續使用會話的屏幕。會話鎖定可以通過RDP發生,其方式與鎖定本地會話的方式相同。


從Windows 10 1803(2018年4月發布)和Windows Server 2019開始,基于NLA的RDP會話的處理方式發生了變化,導致會話鎖定方面的意外行為。如果網絡異常觸發臨時RDP斷開連接,則在自動重新連接時,無論遠程系統如何離開,RDP會話都將恢復到解鎖狀態。例如,請考慮以下步驟:


用戶使用RDP連接到遠程Windows 10 1803或Server 2019或更新的系統。


用戶鎖定遠程桌面會話。


用戶離開并留下RDP客戶端


此時,攻擊者可以中斷RDP客戶端系統的網絡連接。一旦恢復互聯網連接,RDP客戶端軟件將自動重新連接到遠程系統。但由于此漏洞,重新連接的RDP會話將還原到登錄桌面而不是登錄屏幕。這意味著遠程系統解鎖而無需手動輸入任何憑據。


漏洞驗證


暫無POC/EXP。


修復建議


目前微軟并未打算近期修復,用戶可通過鎖定本地系統而非遠程系統的方式,或通過斷開遠程桌面會話而非僅鎖定會話的方式避免遭該漏洞影響。


參考鏈接


https://kb.cert.org/vuls/id/576688/
https://www.bleepingcomputer.com/news/security/remote-desktop-zero-day-bug-allows-attackers-to-hijack-sessions/

上一篇 下一篇