卡内基大学的CERT协同中心本周警告新版本Windows 10的远程桌面协议(Remote Desktop Protocol, RDP)出现漏洞,可能使远程桌面连接遭攻击者劫持。
编号CVE-2019-9510的漏洞,出现在Windows 10 RDP用户端使用网络层级验证(Network Level Authentication,NLA)。NLA原是为了减少RDP连接系统曝险而设计。当启动Windows RDP连接,连接会被锁定并在用户端会出现验证窗口,直到用户通过验证才能连接。
但是Windows 10 1803和Server 2019之后的新版本中,NLA RDP连接的处理过程变更过,因而出现本漏洞。网络异常导致RDP连接暂时中断,等网络连接恢复、RDP重置时会回到未锁定状态,而非应有的验证码输入窗口。攻击者只要干扰RDP用户端的网络连接,即可在此时访问RDP用户端而不需输入任何验证帐密。研究人员相信,集成Windows登录窗口的双重验证(2FA)系统,如Duo Security MFA也可用这个方法绕过,甚至企业实行的任何登录验证都可因此绕过。
CERT/CC认为,这个漏洞除了当事人微软着手修补之外,目前没有其他解法。所幸这类黑入方法需要黑客干扰网络连接,因此RDP系统被大规模攻击的机率很小。在研究人员通知微软后,微软评估未达风险层级,短期内也不打算修补。
不过研究人员仍然建议,为杜绝任何风险,用户应锁定本机系统(而非远程系统),同时非必要时应切断RDP连接,而不只是锁定而已。