rdp

Windows RDP: Un bug permet de contourner l’écran d’identification des sessions

Un chercheur en sécurité a révélé des détails sur une nouvelle vulnérabilité dans Microsoft Windows Remote Desktop Protocol (RDP).

Identifié comme CVE-2019-9510, la vulnérabilité permet de contourner (côté client) l’écran d’identification des sessions remote desktop (RD).

Découverte par Joe Tammariello, la faille se présente quand la fonctionnalité Microsoft Windows Remote Desktop demande aux clients de s’authentifier avec Network Level Authentication (NLA), une fonctionnalité que Microsoft a récemment recommandé en tant qu’alternative à la vulnérabilité BlueKeep.

Selon Will Dormann, un analyste en vulnérabilité de CERT/CC, si une anomalie de réseau déclenche une déconnexion temporaire de RDP pendant qu’un client était déjà connecté au serveur mais que l’écran d’identification était dérouillé, alors “la reconnexion à la session RDP sera restauré dans un état déverrouillé.”

“En commençant par Windows 10 1803 et Windows Server 2019, la manipulation des sessions RDP avec NLA a changé et cause des résultats inattendus en ce qui concerne le verrouillage de session,” a expliqué Dormann dans un rapport.

“Les systèmes d’authentification à deux facteurs intégrés comme Duo Security MFA, peuvent aussi être contourné par ce mécanisme.”

Démonstration Vidéo du Proof of Concept lié aux sessions RDP

Voici une vidéo de Leandro Velasco de KPN Security qui démontre à quel point il est facile d’exploiter la faille.

Voici comment le CERT décrit le scénario d’attaque:

  • Un utilisateur ciblé se connecte à Windows 10 ou Server 2019 via RDS.
  • L’utilisateur verrouille la session à distance et laisse la machine sans surveillance.
  • A ce moment là, un individu qui a accès à la machine peut interrompre la connectivité au réseau et utiliser l’appareil sans avoir besoin de s’identifier.

C’est une vulnérabilité plutôt trivial.

L’attaque requiert d’avoir un accès physique au système ciblé ainsi que plusieurs autres conditions, cela limite donc la surface d’attaque.

Tammariello a alerté Microsoft de la vulnérabilité le 19 Avril, mais ils ont répondu en disant que cela ne remplissait pas leurs critères de vulnérabilité de sécurité. Ils ne prévoient donc pas de patcher ce problème.

Les utilisateurs peuvent se protéger contre une exploitation potentielle en verrouillant le système local au lieu du système à distance, et en déconnectant les sessions à distance au lieu de se contenter de les verrouiller.

Si cet article vous a plu, jetez un œil à notre précédent article sur une faille de Windows.

Poster un Commentaire

avatar
  S’abonner  
Notifier de
trackback

[…] Si cet article vous a plu jetez un oeil à notre précédent article concernant une faille de Windows. […]