نفوذگران می‌توانند قفل صفحه‌ی ویندوز را در Remote Desktop Sessions‌ دور بزنند

ویژگی احراز هویت سطح شبکه (NLA) در Remote Desktop Services (RDS) به یک نفوذگر اجازه می‌دهد تا قفل صفحه در نشست‌های راه دور را دور بزنند و مایکروسافت هیچ وصله‌ای منتشر نکرده است. NLA با ملزم کردن کاربر به احراز هویت در سرور Remote Desktop Session Host (RD) قبل از ایجاد یک نشست، محافظت بهتری برای نشست‌های RD ارائه می‌دهد.

مایکروسافت به‌تازگی NLA را به‌عنوان راه‌حلی برای مقابله با یک آسیب‌پذیری بحرانی RDS توصیه کرده است که با نام BlueKeep و شناسه‌ی CVE-2019-0708 ردیابی می‌شود. هنگامی‌که کاربر از طریق RDS به یک سیستم راه دور متصل می‌شود، می‌تواند نشست را به همان شیوه‌ای که به‌صورت محلی در ویندوز قفل می‌شود، قفل کند. درصورتی‌که نشست قفل باشد، کاربر با یک صفحه‌ی قفل مواجه می‌شود که در آن باید احراز هویت شود تا استفاده از نشست ادامه پیدا کند.

محققی با نام Joe Tammariello از مؤسسه‌ی مهندسی نرم‌افزار، یک آسیب‌پذیری کشف کرد که می‌تواند برای دور زدن صفحه‌ی قفل در یک نشست RDS مورد بهره‌برداری قرار گیرد. این آسیب‌پذیری که با شناسه‌ی CVE-2019-9510 ردیابی می‌شود و در سیستم نمره‌دهی CVSS امتیاز ۴٫۶ به آن اختصاص داده شده است، نسخه‌های ویندوز ۱۰ ۱۸۰۳ و ویندوز سرور ۲۰۱۹‌ را تحت تأثیر قرار می‌دهد. درصورتی‌که یک ناهنجاری شبکه موجب قطع موقت RDP شود، پس از اتصال خودکار مجدد، بدون در نظر گرفتن این‌که سیستم راه دور در چه حالتی مانده است، نشست RDP به یک وضعیت قفل‌نشده بازگردانده می‌شود.

سناریوی حمله به این صورت توصیف می‌شود که کاربر هدف از طریق RDS به یک سیستم ویندوز ۱۰ یا ویندوز سرور ۲۰۱۹ متصل می‌شود و نشست راه دور را قفل می‌کند و دستگاه کلاینت را بدون کنترل و نظارت رها می‌کند. در این حالت مهاجمی که به دستگاه کلاینت دسترسی دارد می‌تواند اتصال شبکه‌ی خود را قطع کند و سپس بدون نیاز به گواهی‌نامه به سیستم راه دور دسترسی پیدا کند. سیستم های احراز هویت دو مرحله‌ای که با صفحه‌ی ورود ویندوز مانند Duo Security MFA یکپارچه می‌شوند، بااستفاده از این سازوکار دور زده می‌شوند.

Tammariello یافته‌های خود را به مایکروسافت گزارش داد، اما ظاهراً این غول فناوری قصد ندارد که به‌زودی این آسیب‌پذیری را وصله کند. کاربران می‌توانند از طریق دو روش در برابر حملات احتمالی از خود محافظت کنند که یکی قفل سیستم محلی به جای سیستم راه دور و دیگری قطع ارتباط نشست RDS به جای قفل آن است.

منبع

پست‌های مشابه

Leave a Comment