آزمایشگاه و مرکز تخصصی آپا دانشگاه تبریز

NewApa.Models.ClassList.LsNews
آسیب پذیری
1398/03/21

آسیب پذیری در Remote Desktop

یک محقق امنیتی اخیرا جزئیاتی در‏مورد آسیب‏پذیری پروتکل‏های راه دور desktop مایکروسافت ویندوز (RDP) نشان داده است. این آسیب‏پذیری به شناسه‏ی  CVE-2019-9510 به هکر‏ها امکان بایپس کردن lock screen در session های remote desktop را می‏دهد. طبق تحقیقات جو تاماریلو مهندس نرم‏افزار دانشگاه کارنگی ملون ،  این نقص زمانی به وجود می‏آید که سرویس RDP نیاز به اجازه‏ی کاربران برای استفاده از Network Level Authentication  -ویژگی که مایکروسافت در برابر آسیب‏پذیری بحرانی BlueKeep توصیه کرده است- دارد.

بنابر گفته‏ی ویل دورمن ، تحلیل‏گر آسیب‏پذیری در CERT/CC ، هنگامی که کاربر به سرور متصل است ولی صفحه ی ورود به سیستم قفل می‏باشد ، اگر انحراف شبکه باعث قطع اتصال موقت RDP شود ، برای اتصال مجدد به RDP ، سیستم بدون توجه به حالت رها شده توسط کاربر به حالت بدون قفل بازگردانده خواهد شد. با شروع از ویندوز 1803 10 و ویندوز سرور 2019، مدیریت RDP ویندوز با استفاده از session های RDP مبتنی بر NLA به نحوی تغییر می‏کند که می تواند منجر به رفتار غیر منتظره در رابطه با قفل شدن session شود.

سیستم های احراز هویت دو عامل مانند Duo Security MFA که با صفحه ورود ویندوز هماهنگ میشدند با این مکانیزم کنار گذاشته میشوند. هر login banners  که توسط یک سازمان اجرا می‏شود بایپس خواهد شد.

لینک زیر ، لینک ویدیویی است که Leandro Velasco از تیم تحقیقاتی امنیتی KPN با The Hacker News به اشتراک گذاشته است که نشان می‏دهد بهره برداری از این نقص بسیار ساده است.

https://youtu.be/Vx6YQ595phw

CERT روند هکر‏ها را به صورت زیر شرح داده است:

  1. کاربر هدف با استفاده از RDS به سیستم ویندوز 10 یا سرور 2019 متصل می شود.
  2. کاربر remote session قفل میکند و client device را بدون مراقبت رها می‏کند.
  3. در این مرحله ، هکر با دسترسی به client device می‏تواند شبکه ی ارتباطی آن را مختل کند و بدون نیاز به اعتبار‏سنجی به سیستم از راه دور دسترسی داشته باشد.

 
این بدان معنی است که بهره برداری از این آسیب پذیری خیلی آسان است ، زیرا مهاجم فقط نیاز به قطع اتصال شبکه ی سیستم هدف دارد. با این حال، از آنجا که مهاجم نیاز به دسترسی فیزیکی به چنین سیستمی هدفمندی دارد(به عنوان مثال، یک session فعال با صفحه قفل شده)، خود سناریو سطح حمله را به میزان بیشتری محدود می کند.
تاماریلو مایکروسافت را در مورد این آسیب پذیری در تاریخ 19 آوریل مطلع ساخت ، اما این شرکت پاسخ داد : "این رفتار با معیار‏های سرویس امنیتی مایکروسافت برای ویندوز برخوردی نخواهد داشت. " که این مفهوم را داراست که غول تکنولوژی هیچ برنامه ای برای رفع این مشکل در اسرع وقت ندارد.

هرچند کاربران میتوانند از طریق قفل کردن سیستم محلی به‏جای سیستم از راه دور  و یا قطع اتصال سیستم از راه دور به‏جای قفل کردن آن ، از خود در برابر این آسیب محافظت کنند.

نظرات
برای ثبت نظر لطفا وارد شوید
ورود