Detectan vulnerabilidad en Escritorio Remoto de Windows
S21sec develó detalles técnicos sobre una nueva vulnerabilidad en Windows (CVE-2019-915). Esta vulnerabilidad aún se encuentra sin “parchar” y afecta los servicios de Escritorio Remoto (RDP) de Microsoft Windows. La vulnerabilidad podría ser explotada por atacantes que tengan acceso al dispositivo del cliente, con el fin de evitar la pantalla de bloqueo en las sesiones de Escritorio Remoto. Esta vulnerabilidad requiere acceso físico a un sistema específico.
El Escritorio Remoto de Windows tiene una característica conocida como Network Level Authentication (NLA), encargada de desplazar el aspecto de autenticación de una sesión remota del escritorio a una capa de red.
En Windows 10 1803 (lanzada en abril de 2018) y Windows Server 2019, el manejo de las sesiones RDP basadas en NLA puede causar un comportamiento inesperado con respecto al bloqueo de sesiones. Si una anomalía en la red desencadena una desconexión temporal del RDP, al reconectarse automáticamente la sesión RDP se restaurará a un estado desbloqueado, independientemente de cómo se haya dejado el sistema remoto.
Un atacante puede interrumpir la conectividad de red del sistema cliente RDP, y el software del cliente RDP se reconectará automáticamente al sistema remoto una vez que se haya restaurado la conexión a Internet. Esta vulnerabilidad reside en el hecho de que la sesión RDP reconectada se restaura en un escritorio conectado, en lugar de hacerlo en la pantalla de inicio de sesión. Esto significa que el sistema remoto se desbloquea sin la necesidad de introducir manualmente alguna credencial.
Recomendaciones:
- Desconectar las sesiones de Escritorio Remoto en lugar de bloquearlas. Esto puede invalidar la sesión actual y evitar la reconexión automática de una sesión RDP sin credenciales.
- Si el sistema se está usando como cliente RDP, se sugiere bloquear la sesión del sistema local en lugar de la sesión remota. No olvide que una de las mejores prácticas de seguridad consiste en bloquear su equipo cada vez que abandone su puesto de trabajo
- Promover una correcta política de actualizaciones y parches, de forma periódica, para evitar que nuevas vulnerabilidades puedan ser explotadas.