Windows RDP: 1 bug qui contourne l’identification de session

Un chercheur en sécurité a révélé des détails sur une nouvelle vulnérabilité dans Microsoft Windows Remote Desktop Protocol (RDP).

Identifié comme CVE-2019-9510, la vulnérabilité permet de contourner (côté client) l’écran d’identification des sessions remote desktop (RD).

Découverte par Joe Tammariello, la faille se présente quand la fonctionnalité Microsoft Windows Remote Desktop demande aux clients de s’authentifier avec Network Level Authentication (NLA), une fonctionnalité que Microsoft a récemment recommandé en tant qu’alternative à la vulnérabilité BlueKeep.

Selon Will Dormann, un analyste en vulnérabilité de CERT/CC, si une anomalie de réseau déclenche une déconnexion temporaire de RDP pendant qu’un client était déjà connecté au serveur mais que l’écran d’identification était dérouillé, alors “la reconnexion à la session RDP sera restauré dans un état déverrouillé.”

“En commençant par Windows 10 1803 et Windows Server 2019, la manipulation des sessions RDP avec NLA a changé et cause des résultats inattendus en ce qui concerne le verrouillage de session,” a expliqué Dormann dans un rapport.

“Les systèmes d’authentification à deux facteurs intégrés comme Duo Security MFA, peuvent aussi être contourné par ce mécanisme.”

Démonstration vidéo de la preuve de concept liée aux sessions RDP

Voici une vidéo de Leandro Velasco de KPN Security qui démontre à quel point il est facile d’exploiter la faille.

Voici comment le CERT décrit le scénario d’attaque:

  • Un utilisateur ciblé se connecte à Windows 10 ou Server 2019 via RDS.
  • L’utilisateur verrouille la session à distance et laisse la machine sans surveillance.
  • A ce moment là, un individu qui a accès à la machine peut interrompre la connectivité au réseau et utiliser l’appareil sans avoir besoin de s’identifier.

C’est une vulnérabilité plutôt trivial.

L’attaque requiert d’avoir un accès physique au système ciblé ainsi que plusieurs autres conditions, cela limite donc la surface d’attaque.

microsoft windows rdp

Tammariello a alerté Microsoft de la vulnérabilité le 19 Avril 2019, mais ils ont répondu en disant que cela ne remplissait pas leurs critères de vulnérabilité de sécurité. Ils ne prévoient donc pas de patcher ce problème.

Les utilisateurs peuvent se protéger contre une exploitation potentielle en verrouillant le système local au lieu du système à distance, et en déconnectant les sessions à distance au lieu de se contenter de les verrouiller.

Si cet article vous a plu, jetez un œil à notre précédent article sur une faille de Windows.

1
Poster un Commentaire

avatar
1 Fils de commentaires
0 Réponses de fil
0 Abonnés
 
Commentaire avec le plus de réactions
Le plus populaire des commentaires
0 Auteurs du commentaire
Windows: un chercheur de Google divulgue une faille vieille de 20 ans - TechSecuriteNews Auteurs de commentaires récents
  S’abonner  
le plus récent le plus ancien le plus populaire
Notifier de
trackback

[…] Si cet article vous a plu jetez un oeil à notre précédent article concernant une faille de Windows. […]