Windows: Bug ignora Blocca Schermo in sessioni RDP

Un ricercatore di sicurezza ha rivelato i dettagli di una vulnerabilità zero-day di Microsoft Windows Remote Desktop Protocol (RDP). Monitorato come CVE-2019-9510 , la vulnerabilità segnalata potrebbe consentire agli aggressori lato client di aggirare la schermata di blocco sulle sessioni di desktop remoto (RD).

Scoperto da Joe Tammariello del Carnegie Mellon University Software Engineering Institute (SEI), il difetto esiste quando la funzionalità Microsoft Windows Remote Desktop richiede ai client di autenticarsi con Network Level Authentication (NLA), una funzionalità che Microsoft ha recentemente consigliato come soluzione alternativa al BlueKeep  .

“A partire da Windows 10 1803 e Windows Server 2019, la gestione RDP di Windows delle sessioni RDP basate su NLA è cambiata in un modo che può causare comportamenti imprevisti rispetto al blocco della sessione”, spiega Dormann in un avviso

“I sistemi di autenticazione a due fattori che si integrano con la schermata di login di Windows, come Duo Security MFA, sono anch’essi bypassati usando questo meccanismo.

Il CERT descrive lo scenario di attacco come segue:

• Un utente mirato si connette a un sistema Windows 10 o Server 2019 tramite RDS.
• L’utente blocca la sessione remota e lascia il dispositivo client incustodito.
• A questo punto, un utente malintenzionato con accesso al dispositivo client può interrompere la sua connettività di rete e accedere al sistema remoto senza bisogno di credenziali.