Microsoft Windows RDP می تواند صفحه قفل ویندوز را دور بزند

Microsoft Windows RDP می تواند به مهاجم اجازه  دهد در نشست های راه دور صفحه قفل ویندوز را  دور بزند(بای پس نماید).

در ویندوز نشستی قفل می شود ،که برای استفاده از آن ، صفحه ای  به کاربر ارائه می دهد که نیاز  به  تأیید اعتبار دارد.  قفل نشست می تواند  علاوه بر RDP در یک نشست  محلی  (لوکال)  نیز اتفاق  افتد.

CWE-288: بای پس تأیید هویت توسط یک مسیر یا کانال جایگزین (CVE-2019-9510)

با شروعWindows 10 1803 (منتشر شده در آوریل 2018) و ویندوز سرور 2019، نشست های RDP به شکلی تغییر کرده است که می تواند با توجه به قفل نشست ها منجر به رفتار غیر منتظره ای گردد.  اگر یک ناهنجاری شبکه باعث قطع اتصال موقت RDP شود ، پس از اتصال مجدد خودکار ، نشست RDP بدون توجه به چگونگی وضعیت سیستم راه دور ، به حالت قفل بازگردانده می شود. برای مثال مراحل زیر را در نظر بگیرید:

  1. کاربر با استفاده از RDP به ویندوز 10 1803 یا Server 2019 یا سیستم جدیدتر از راه دور متصل می شود.
  2. کاربر نشست دسکتاپ ریموت را قفل می کند.
  3. کاربر در مجاورت فیزیکی سیستم به عنوان یک کلاینت RDP بکار گرفته می شود.

در این مرحله یک مهاجم می تواند اتصال شبکه سیستم کلاینت RDP را قطع کند. پس از برقراری اتصال اینترنت ، نرم افزار کلاینت RDP به طور خودکار به سیستم از راه دور وصل خواهد شد، اما به دلیل این آسیب پذیری ، نشست RDP متصل دوباره به صفحه ورود به سیستم وارد می شود تا صفحه ی لاگین. این بدان معنی است که سیستم راه دور بدون نیاز به گواهی نامه و مجوز دسترسی، قفل را باز می نماید. همچنین سیستم های تأیید هویت دو عاملی در صفحه ورود به سیستم ویندوز، مانند Duo Security MFA و سایر راه حل های MFA(روش های احراز هویت چندعاملی) ، ممکن است با استفاده از این مکانیسم بای پس شوند. هرگونه بنر ورود به سیستم که توسط یک سازمان اعمال می شود نیز بای پس می شود.

توجه به این نکته ضروری است که این آسیب پذیری در رفتار صفحه قفل Microsoft Windows هنگام استفاده از RDP و در صورت عدم نصب راه حل های MFA وجود دارد.  فروشندگان نرم افزار MFA نمی توانند با تکیه بر صفحه قفل ویندوز منجربه رفتاری شوند که انتظار می رود، به همین علت محصولاتشان متاثر از این آسیب پذیری ست.

توجه داشته باشید که این آسیب پذیری در ابتدا به عنوان نیاز به احراز هویت سطح شبکه Network Level Authentication- NLA شناخته شد.  از آن زمان وجود این رفتار  که آیا NLA فعال است یا نه ، تایید شد. همچنین ، برخی از سرویس گیرنده های RDP و نسخه های ویندوز قبل از ویندوز 10 1803 و سرور 2019 نیز ممکن است باز شدن اتوماتیک نشست در اتصال مجدد RDP را نشان دهند. در چنین مواردی ، MFA با صفحه ورود به سیستم یکپارچه و یا ورود به سیستم نمایش بنر در آزمایش ما کنارگذاشته نمی شود. اگرچه این موارد موضوعی متفاوت از576688#  VU است ، اما برای جلوگیری از بروز این علائم مشابه ، باید از راهکارهای ذکر شده برای این آسیب پذیری استفاده نمود.

تاثیر

با قطع ارتباط اتصال به شبکه از یک سیستم ، یک مهاجم با دسترسی به سیستمی که به عنوان کلاینت Windows RDP مورد استفاده قرار می گیرد ، می تواند به یک سیستم از راه دور متصل دسترسی پیدا کند ، صرف نظر از این که سیستم راه دور قفل شده است یا خیر.

راهکار

CERT / CC در حال حاضر از راه حل عملی برای این مشکل بی خبر است. لطفا راه حل های زیر را مورد توجه قرار دهید:

اتصال مجدد خودکار RDP را روی سرورهای RDP غیرفعال کنید

Microsoft RDP از ویژگی به نام اتصال مجدد اتوماتیک پشتیبانی می کند ، که “… به مشتری امکان می دهد تا به یک نشست موجود (پس از وقوع کوتاه مدت خرابی شبکه ) بدون نیاز به ارسال مجدد گواهی نامه کاربر به سرور ، دوباره وصل شود.”  این ویژگی اتصال مجدد خودکار که در این آسیب پذیری مورد استفاده  قرار می گیرد ،   می تواند به یک مهاجم اجازه دهد تا بدون نیاز به ارائه هرگونه گواهی نامه ، به جلسه دسک تاپ کاربر برسد. با تنظیم کلید زیر در حالت غیرفعال ، ویژگی اتصال مجدد خودکار در Windows Group Policyغیرفعال  می شود:

Local Computer -> Computer Configuration -> Administrative Templates -> Windows Components -> Remote Desktop Services -> Remote Desktop Session Host -> Connections -> Automatic reconnection

محافظت دسترسی به سیستم های کلاینت RDP

اگر سیستمی دارید که به عنوان کلاینت RDP مورد استفاده قرار می گیرد ، حتما سیستم محلی را بر خلاف سیستم ریموت، قفل نمایید. حتی اگر سیستم محلی چیز با ارزشی نداشته باشد ، نشست زنده RDP فقط با محدود کردن دسترسی به سیستم کلاینت محافظت می شود. قفل نمودن سیستم ریموت روی RDP هیچ گونه محافظتی را میسر نمی سازد.

جلسات RDP را به جای قفل نمودن، قطع نمایید

از آنجا که قفل کردن یک نشست از راه دور RDP هیچ محافظت موثری ندارد ، نشست های RDP را باید جدا نمود نه اینکه قفل نمود. این نشست فعلی را بی اعتبار می کند ، که مانع از اتصال مجدد خودکار جلسه RDP بدون اعتبار می شود.

فروشندگان غیر از مایکروسافت که تحت عنوان “Affected” ذکر می شوند، محصولاتی دارند که تحت تأثیر این آسیب پذیری در Microsoft Windows RDP قرار می گیرند. محصولات واقعی فروشندگان لزوماً حاوی آسیب پذیری نیستند ، بلکه فروشندگان محصولاتی که ممکن است همانطور که انتظار می رود ، از ورود به سیستم محافظت نکنند ، نتیجه این مسئله با مایکروسافت ویندوز است.

تاریخ : : June 4, 2019 – 1398/03/14

 https://kb.cert.org/vuls/id/576688 :منبع

فهرست