Microsoft brengt geen beveiligingsupdate voor een aanval waardoor het mogelijk is om op afstand een vergrendelde RDP-sessie te ontgrendelen. Windows remote desktopprotocol (RDP) ondersteunt een feature genaamd Network Level Authentication (NLA), dat het authenticatiegedeelte van de remote sessie van de RDP-laag naar de netwerklaag verplaatst.

 

Met de lancering van Windows 10 versie 1803 en Windows Server 2019 gaat Windows RDP anders om met NLA-gebaseerde RDP-sessies, waardoor erbij het vergrendelen van een sessie onverwacht gedrag kan voorkomen. Als de RDP-verbinding tijdelijk wordt onderbroken zal bij het automatisch hervatten van de verbinding de RDP-sessie ontgrendeld zijn, ongeacht hoe het op afstand beheerde systeem was achtergelaten.

Een aanvaller die toegang heeft tot het systeem dat als RDP-client wordt gebruikt kan de netwerkverbinding verbreken en zo het remote systeem ontgrendelen en zonder inloggegevens inloggen. Volgens Microsoft komt het scenario niet in aanmerking voor een beveiligingsupdate, aangezien Server 2019 zich aan de regels van Network Level Authentication houdt, waarbij de client zolang die verbonden is met het systeem de inloggegevens zal cachen en gebruiken als de verbinding wordt hervat.

Als workaround wordt aangeraden om toegang tot RDP-clientsystemen te beschermen. Gebruikers moeten in dit geval niet het remote systeem vergrendelen, maar hun lokale systeem. Daarnaast adviseert het CERT/CC om RDP-sessies niet te vergrendelen, maar de verbinding van de RDP-sessie te verbreken. Een andere oplossing is "automatic reconnection" op RDP-servers uit te schakelen, aldus Will Dormann van het CERT/CC.

Microsoft

Reacties mogelijk gemaakt door CComment