Vergrendelde Windows RDP-sessie door bug te ontgrendelen

[Captain Kirk]

Een feature die het Windows remote desktopprotocol (RDP) ondersteunt maakt het mogelijk voor een aanvaller om de schermvergrendeling van het besturingssysteem te omzeilen en zo op afstand vergrendelde RDP-sessie te ontgrendelen.

RDP ondersteunt een feature genaamd Network Level Authentication (NLA), dat het authenticatiegedeelte van de remote sessie van de RDP-laag naar de netwerklaag verplaatst. Dit moet het aanvalsoppervlak van het systeem verkleinen. Net zoals bij een lokaal systeem mogelijk is, kan ook via RDP een systeem worden vergrendeld. De gebruiker krijgt in dit geval een inlogscherm te zien. Zodra de gebruiker inlogt wordt de sessie hervat.

Met de lancering van Windows 10 versie 1803 en Windows Server 2019 gaat Windows RDP anders om met NLA-gebaseerde RDP-sessies, waardoor erbij het vergrendelen van een sessie onverwacht gedrag kan voorkomen. Als de RDP-verbinding tijdelijk wordt onderbroken zal bij het automatisch hervatten van de verbinding de RDP-sessie ontgrendeld zijn, ongeacht hoe het op afstand beheerde systeem was achtergelaten.

Een gebruiker logt bijvoorbeeld in via RDP en vergrendelt vervolgens de remote desktopsessie. De gebruiker verlaat hierna het systeem dat als RDP-client wordt gebruikt. Op dit moment kan een aanvaller in de buurt de netwerkverbinding van het RDP-clientsysteem onderbreken. Dit zorgt ervoor dat het remote systeem op dat moment ontgrendeld wordt en er zonder inloggegevens kan worden ingelogd. Tweefactorauthenticatie-oplossingen die in het Windows-inlogscherm zijn geïntegreerd worden op deze manier ook omzeild.

Een praktische oplossing is nog niet voorhanden, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Als workaround wordt aangeraden om toegang tot RDP-clientsystemen te beschermen. Gebruikers moeten in dit geval niet het remote systeem vergrendelen, maar hun lokale systeem. Daarnaast adviseert het CERT/CC om RDP-sessies niet te vergrendelen, maar de verbinding van de RDP-sessie te verbreken.

 

 

bron: security.nl