Vulnerabilidad no parcheada permite a los ciberdelincuentes omitir la pantalla de bloqueo de Windows
Un investigador de seguridad reveló detalles este día de una nueva vulnerabilidad sin parchear en el Protocolo de escritorio remoto de Microsoft Windows (RDP).
Identificada como CVE-2019-9510, la vulnerabilidad reportada podría permitir a los atacantes del lado del cliente evadir la pantalla de bloqueo en las sesiones de escritorio remoto (RD).
Esta vulnerabilidad fue descubierta por Joe Tammariello del Instituto de Ingeniería de Software de la Universidad Carnegie Mellon (SEI), la falla existe cuando la función de Escritorio Remoto de Microsoft Windows requiere que los clientes se autentiquen con Autenticación de Nivel de Red (NLA), una función que Microsoft recomendó recientemente como una solución contra la vulnerabilidad critica BlueKeep.
Según Will Dormann, un analista de vulnerabilidades en el CERT/CC:
Si una anomalía de la red desencadena una desconexión RDP temporal mientras un cliente ya estaba conectado al servidor, pero la pantalla de inicio de sesión está bloqueada, “luego de la reconexión, la sesión RDP se restaurará a un estado desbloqueado, independientemente de cómo se dejó el sistema remoto”.
“A partir de Windows 10 1803 y Windows Server 2019, el manejo de RDP de Windows de las sesiones RDP basadas en NLA ha cambiado de una manera que puede causar un comportamiento inesperado con respecto al bloqueo de sesión”, explica Dormann en un aviso publicado hoy.
“Los sistemas de autenticación de dos factores que se integran con la pantalla de inicio de sesión de Windows, como Duo Security MFA, también se evade mediante este mecanismo.
Video demostración de prueba de concepto
Aquí te muestro un video que Leandro Velasco, del Equipo de Investigación de Seguridad de KPN, compartió con The Hacker News, que demuestra lo fácil que es explotar la vulnerabilidad.
El CERT describe el escenario del ataque de la siguiente manera:
- Un usuario específico se conecta a un sistema Windows 10 o Server 2019 a través de RDS.
- El usuario bloquea la sesión remota y deja el dispositivo cliente sin supervisión.
- En este punto, un atacante con acceso al dispositivo cliente puede interrumpir la conectividad de red y obtener acceso al sistema remoto sin necesidad de ninguna credencial.
Esto significa que explotar esta vulnerabilidad es muy trivial, ya que un atacante solo necesita interrumpir la conectividad de la red de un sistema específico.
Sin embargo, dado que el atacante requiere acceso físico a un sistema tan específico (es decir, una sesión activa con pantalla bloqueada), el escenario en sí limita la superficie de ataque en mayor medida.
Tammariello notificó a Microsoft la vulnerabilidad el 19 de abril, pero la compañía respondió diciendo que “el comportamiento no cumple con los Criterios de Servicio de Seguridad de Microsoft para Windows”, lo que significa que el gigante tecnológico no tiene planes de solucionar el problema en el corto plazo.
Sin embargo, los usuarios podemos protegernos contra la posible explotación de esta vulnerabilidad bloqueando el sistema local en lugar del sistema remoto y desconectando las sesiones de escritorio remoto en lugar de solo bloquearlas.