El investigador de seguridad Joe Tammariello reveló hoy detalles de una nueva vulnerabilidad sin parchear en el Protocolo de escritorio remoto de Microsoft Windows (RDP). Identificado como CVE-2019-9510, la vulnerabilidad reportada podría permitir a los atacantes del lado del cliente eludir la pantalla de bloqueo en las sesiones de escritorio remoto. Esta NO es la misma vulnerabilidad que BlueKeep.
Descubierta por Joe Tammariello del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon (SEI), la falla existe cuando la función de Microsoft Windows Remote Desktop requiere que los clientes se autentiquen con Autenticación de Nivel de Red (NLA), una función que Microsoft recomendó recientemente como una solución contra el crítico BlueKeep RDP vulnerabilidad.
Según Will Dormann, un analista de vulnerabilidades en el CERT/CC, si una anomalía de la red desencadena una desconexión RDP temporal mientras un cliente ya estaba conectado al servidor pero la pantalla de inicio de sesión está bloqueada, «luego de la reconexión, la sesión RDP se restaurará. un estado desbloqueado, independientemente de cómo se dejó el sistema remoto».
«A partir de Windows 10 1803 y Windows Server 2019, el manejo de RDP de las sesiones RDP basadas en NLA ha cambiado de una manera que puede causar un comportamiento inesperado con respecto al bloqueo de sesión», explica Dormann en un aviso publicado hoy.
«Los sistemas de autenticación de dos factores que se integran con la pantalla de inicio de sesión de Windows, como Duo Security MFA, también se omiten mediante este mecanismo. Cualquier banner de inicio de sesión aplicado por una organización también se omitirá».
Aquí hay un video que Leandro Velasco, del Equipo de Investigación de Seguridad de KPN, compartió con The Hacker News, que demuestra lo fácil que es explotar la falla.
El CERT describe el escenario de ataque de la siguiente manera: un usuario específico se conecta a un sistema Windows 10 o Server 2019 a través de RDS. El usuario bloquea la sesión remota y deja el dispositivo cliente sin supervisión. En este punto, un atacante con acceso al dispositivo cliente puede interrumpir su conectividad de red y obtener acceso al sistema remoto sin necesidad de ninguna credencial.
Esto significa que explotar esta vulnerabilidad es muy trivial, ya que un atacante solo necesita interrumpir la conectividad de la red de un sistema específico. Sin embargo, dado que el atacante requiere acceso físico a un sistema tan específico (es decir, una sesión activa con pantalla bloqueada), el escenario en sí limita la superficie de ataque en mayor medida.
Tammariello notificó a Microsoft la vulnerabilidad el 19 de abril, pero la compañía respondió diciendo que «el comportamiento no cumple con los Criterios de Servicio de Seguridad de Microsoft para Windows», lo que significa que el gigante tecnológico no tiene planes de solucionar el problema en el corto plazo.
Sin embargo, los usuarios pueden protegerse contra la posible explotación de esta vulnerabilidad bloqueando el sistema local en lugar del sistema remoto y desconectando las sesiones de escritorio remoto en lugar de solo bloquearlas.
Fuente: THN