卡耐基大学CERT应急中心本周警告称,新版Windows 10的远程桌面协议(Remote Desktop Protocol,RDP)存在漏洞,可能会使远程桌面连接被攻击者劫持。
RDP漏洞的编号为CVE-2019-9510,在Windows 10 RDP客户端使用网络级身份验证(NLA)时出现。
NLA是一种新的远程桌面连接安全认证机制,可以在远程桌面连接和登录屏幕出现之前提前完成用户认证。这种设计最初是为了减少RDP连接系统的暴露危险。
然而,在Windows 10 1803和Server 2019之后的新版本中,更新了NLA RDP连接的处理,但触发了新的漏洞。当RDP连接由于网络异常而暂时中断时,
当网络连接恢复,RDP复位后,会回到解锁状态,但不是正确的验证码输入界面。
此时,只要攻击者干扰RDP客户端的网络连接,他就可以在此时访问RDP客户端,而无需输入任何验证账号密码。研究人员认为,集成了Windows登录界面的双因素身份验证(2FA)系统,
比如Duo Security MFA也可以通过这种方式绕过,甚至企业实现的任何登录验证都可以绕过。
CERT急救中心认为,除了微软已经开始修复之外,没有其他解决该漏洞的方法。好在这种攻击方式需要黑客干扰网络连接,所以RDP系统被大规模攻击的概率应该不大。据悉,研究人员通知微软后,
微软的评估没有达到风险级别,也不打算在短期内修复。
然而,研究人员仍然建议,为了消除任何风险,用户应该锁定本地系统(而不是远程系统),并在不必要的时候断开RDP连接,而不是仅仅锁定它。
