Эксперты Центра реагирования на киберугрозы Университета Карнеги —Меллона предупредили об уязвимости в протоколе удаленного рабочего стола (RDP) Windows. Дыра позволяет обойти экран блокировки сеанса и получить доступ к целевому устройству с правами текущего пользователя.

Баг появился в одном из последних релизов операционной системы и связан с использованием механизма аутентификации на уровне сети (Network Level Authentication, NLA). Специалисты отмечают, что эксплуатация ошибки маловероятна, поскольку требует физического доступа к устройству с открытым RDP-сеансом.

Корень проблемы кроется в некорректном поведении экрана блокировки при подключении к удаленному рабочему столу Windows 10 1803 и Windows Server 2019. Как выяснили ИБ-аналитики, в случае использования NLA кратковременный разрыв связи приведет к ее автоматическому восстановлению под учетными данными текущего пользователя. При этом блокировка экрана исчезнет, а вводить логин и пароль не потребуется.

Специалисты описали следующий сценарий атаки:

  1. Легитимный пользователь устанавливает RDP-сеанс с целевым устройством, после чего блокирует экран и покидает рабочее место.
  2. Злоумышленник с физическим доступом к компьютеру пользователя производит кратковременный разрыв соединения.
  3. В случае использования аутентификации на уровне сети сеанс восстановится без блокировки экрана.

Аналитики зарегистрировали баг как CVE-2019-9510 и оценили его в 4,6 балла по шкале CVSS. Разработчиков Microsoft уведомили о проблеме 19 апреля, но они не планируют выпускать для нее патч. Как заявил вендор, уязвимость не соответствует критериям поддержки безопасности, поскольку для атаки необходима предварительная авторизация существующего пользователя. ИБ-специалисты со своей стороны призывают владельцев уязвимых систем не использовать блокировку экрана, а завершать RDP-сеанс, покидая рабочее место.

При этом аутентификация на уровне сети может снизить вероятность распространения червя при атаке BlueKeep. Аналитики Microsoft рекомендовали включить эту службу для дополнительной авторизации при удаленном доступе к рабочему столу. Эксперты отмечают, что поскольку CVE-2019-0708 затрагивает лишь Windows 7 и Windows Server 2008, совместная эксплуатация двух уязвимостей невозможна.

Категории: Уязвимости