安全研究人員稱,Windows 1903 更新中存在的網路身份驗證(NLA)bug,可被攻擊者利用來控制遠端會話。
據悉,NLA 旨在防止攻擊者遠端登入到使用者的 Windows PC 。它會要求登入者提供必要的詳情,以便進行身份驗證。
原本攻擊者不應該知曉這些細節,除非你與外界進行了分享。
(截圖 via MSPU)
問題在於,在最新的 Windows 10 1903(2019 五月更新)中,NLA 的工作原理髮生了變化。NakedSecurity 指出:
新版身份驗證機制將客戶端的登入憑證快取在了 RDP 主機上,以便在客戶端失去連線時再次快速登入,這項變動使得攻擊者能夠繞過 Windows 鎖屏。
對於此事,NakedSecurity 已經向計算機應急響應小組(CERT / CC)發出了警告,後者已經在一份安全公告(VU#576688)中給出了詳細的介紹。
受此影響,重新連線的 RDP 會話將還原到登入後的介面、而不是留在登入螢幕上,意味著無需手動輸入任何憑據、即可完成遠端系統解鎖。
(圖自:CERT)
更糟糕的是,這個漏洞讓攻擊者可以繞過多因素身份驗證(MFA)系統,而微軟卻將它視為一項特殊的 RDP 功能。該公司迴應道:
經過調查,我們認為此事符合微軟的 Windows 安全服務標準,本例提到的是 Windows Server 2019 中支援的網路級身份驗證(NLA)。
NLA 會在連線的早期索取使用者資訊,並在使用者進入會話(或重新連線)時使用相同的身份憑據。
只要已連線,客戶端就會快取該憑據,並在需要自動重新連線時呼叫(因此能夠繞過 NLA)。
CERT 指出:鑑於微軟僅承認這是一項特色功能、而不是一個 bug,意味著它不會很快提供任何修復。建議使用者儘量使用本地機器的鎖屏機制(而不是遠端桌面連線)。
安全研究人員稱,Windows 1903 更新中存在的網路身份驗證(NLA)bug,可被攻擊者利用來控制遠端會話。
據悉,NLA 旨在防止攻擊者遠端登入到使用者的 Windows PC 。它會要求登入者提供必要的詳情,以便進行身份驗證。
原本攻擊者不應該知曉這些細節,除非你與外界進行了分享。
(截圖 via MSPU)
問題在於,在最新的 Windows 10 1903(2019 五月更新)中,NLA 的工作原理髮生了變化。NakedSecurity 指出:
新版身份驗證機制將客戶端的登入憑證快取在了 RDP 主機上,以便在客戶端失去連線時再次快速登入,這項變動使得攻擊者能夠繞過 Windows 鎖屏。
對於此事,NakedSecurity 已經向計算機應急響應小組(CERT / CC)發出了警告,後者已經在一份安全公告(VU#576688)中給出了詳細的介紹。
受此影響,重新連線的 RDP 會話將還原到登入後的介面、而不是留在登入螢幕上,意味著無需手動輸入任何憑據、即可完成遠端系統解鎖。
(圖自:CERT)
更糟糕的是,這個漏洞讓攻擊者可以繞過多因素身份驗證(MFA)系統,而微軟卻將它視為一項特殊的 RDP 功能。該公司迴應道:
經過調查,我們認為此事符合微軟的 Windows 安全服務標準,本例提到的是 Windows Server 2019 中支援的網路級身份驗證(NLA)。
NLA 會在連線的早期索取使用者資訊,並在使用者進入會話(或重新連線)時使用相同的身份憑據。
只要已連線,客戶端就會快取該憑據,並在需要自動重新連線時呼叫(因此能夠繞過 NLA)。
CERT 指出:鑑於微軟僅承認這是一項特色功能、而不是一個 bug,意味著它不會很快提供任何修復。建議使用者儘量使用本地機器的鎖屏機制(而不是遠端桌面連線)。