一項(xiàng)新的zero-day漏洞已被披露�,可能允許攻擊者劫持現(xiàn)有的遠(yuǎn)程桌面服務(wù)會(huì)話以獲得對(duì)計(jì)算機(jī)的訪問(wèn)權(quán)限。
即使使用雙因素身份驗(yàn)證(2FA)機(jī)制(如Duo Security MFA)���,也可以利用該漏洞繞過(guò)Windows機(jī)器的鎖定屏幕����。 組織可能設(shè)置的其他登錄橫幅也被繞過(guò)���。
它不應(yīng)該這樣發(fā)生
該問(wèn)題現(xiàn)在被跟蹤為CVE-2019-9510��,并被描述為使用備用路徑或通道的身份驗(yàn)證旁路�����。
卡內(nèi)基梅隆大學(xué)軟件工程研究所(SEI)的CERT協(xié)調(diào)中心今天發(fā)布的一份建議警告說(shuō)���,在遠(yuǎn)程桌面會(huì)話使用NLA的最新Windows系統(tǒng)上�,會(huì)話鎖定會(huì)以意想不到的方式運(yùn)行��。
即使用戶在RDP會(huì)話期間專門鎖定Windows計(jì)算機(jī)����,如果會(huì)話暫時(shí)斷開(kāi)連接,自動(dòng)重新連接也會(huì)將會(huì)話恢復(fù)到解鎖狀態(tài)�,“無(wú)論遠(yuǎn)程系統(tǒng)如何離開(kāi)”。這會(huì)影響Windows 10啟動(dòng)版本1803和Server 2019或更新版本��。
CERT / CC的漏洞分析師Will Dormann描述了以下攻擊情形:
1.用戶使用RDP連接到遠(yuǎn)程Windows 10 1803或Server 2019或更新的系統(tǒng)���。
2.用戶鎖定遠(yuǎn)程桌面會(huì)話�。
3.用戶離開(kāi)系統(tǒng)的物理附近區(qū)域用作RDP客戶端
然后攻擊者可以中斷RDP客戶端的網(wǎng)絡(luò)連接���,這將導(dǎo)致它自動(dòng)重新連接并繞過(guò)Windows屏幕鎖定��。然后����,這可以允許本地攻擊者在遠(yuǎn)程桌面會(huì)話結(jié)束時(shí)訪問(wèn)未鎖定的計(jì)算機(jī)。
通過(guò)中斷系統(tǒng)的網(wǎng)絡(luò)連接��,無(wú)論遠(yuǎn)程系統(tǒng)是否被鎖定�,可以訪問(wèn)用作Windows RDP客戶端的系統(tǒng)的攻擊者都可以訪問(wèn)連接的遠(yuǎn)程系統(tǒng)。
Dormann告訴BleepingComputer���,“它不太可能在野外被大量開(kāi)發(fā)�����,但它絕對(duì)是一種意想不到的行為��。”
CVE-2019-9510由卡內(nèi)基梅隆大學(xué)SEI的Joe Tammariello發(fā)現(xiàn)�。它的嚴(yán)重程度得分為4.6分(滿分10分)。
微軟在4月19日收到了這個(gè)問(wèn)題的通知�����,并回復(fù)說(shuō)“行為不符合Windows的Microsoft安全服務(wù)標(biāo)準(zhǔn)”���。以下是完整的聲明:
在調(diào)查此方案后��,我們確定此行為不符合Windows的Microsoft安全服務(wù)標(biāo)準(zhǔn)��。您正在觀察的是Windows Server 2019���,以表彰網(wǎng)絡(luò)級(jí)別身份驗(yàn)證(NLA)��。網(wǎng)絡(luò)級(jí)別身份驗(yàn)證要求用戶信用以允許連接在最早的連接階段繼續(xù)�。使用這些相同的信用記錄用戶進(jìn)入會(huì)話(或重新連接)���。只要它已連接�����,客戶端將緩存用于連接的憑據(jù)����,并在需要自動(dòng)重新連接時(shí)重用它們(因此它可以繞過(guò)NLA)��。
BlueKeep緩解仍然很好
在發(fā)布有關(guān)BlueKeep(CVE-2019-0708)的詳細(xì)信息時(shí)�����,微軟表示���,打開(kāi)NLA將成為抵御利用漏洞的“可疑”惡意軟件的緩解因素���。
臨時(shí)解決方案依賴于NLA在觸發(fā)漏洞之前需要身份驗(yàn)證的事實(shí)��,因此攻擊者需要有效憑據(jù)才能訪問(wèn)易受攻擊的系統(tǒng)�。
即使CVE-2019-9510改變了NLA的行為����,在BlueKeep(Windows 7和Server 2008)影響的系統(tǒng)上也看不到這種效果。 NLA仍然是一個(gè)可靠的安全功能��。 此漏洞顯示的是異常���,管理員應(yīng)該在較新版本的Windows上了解此結(jié)果�����。
BlueKeep是一個(gè)嚴(yán)重的漏洞���,可能導(dǎo)致Windows操作系統(tǒng)上的遠(yuǎn)程代碼執(zhí)行�。 它會(huì)影響遠(yuǎn)程桌面服務(wù),這使其對(duì)部署可疑惡意軟件具有吸引力�����。
安全研究人員已經(jīng)開(kāi)發(fā)出概念驗(yàn)證代碼,網(wǎng)絡(luò)犯罪分子也不應(yīng)該遠(yuǎn)遠(yuǎn)落后���,大約有一百萬(wàn)個(gè)系統(tǒng)容易受到BlueKeep的影響��,并且掃描網(wǎng)絡(luò)的情況會(huì)繼續(xù)加劇����。
從安全研究人員Daniel Gallagher控制的RDP蜜罐收集的統(tǒng)計(jì)數(shù)據(jù)顯示����,對(duì)易受BlueKeep影響的計(jì)算機(jī)的掃描呈上升趨勢(shì)。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
