卡內基大學的CERT協同中心本周警告新版本Windows 10的遠端桌面協定(Remote Desktop Protocol, RDP)出現漏洞,可能使遠端桌面連線遭攻擊者劫持。

編號CVE-2019-9510的漏洞,出現在Windows 10 RDP用戶端使用網路層級驗證(Network Level Authentication,NLA)。NLA原是為了減少RDP連線系統曝險而設計。當啟動Windows RDP連線,連線會被鎖定並在用戶端會出現驗證視窗,直到使用者通過驗證才能連線。

但是Windows 10 1803和Server 2019之後的新版本中,NLA RDP連線的處理過程變更過,因而出現本漏洞。網路異常導致RDP連線暫時中斷,等網路連線恢復、RDP重置時會回到未鎖定狀態,而非應有的驗證碼輸入視窗。攻擊者只要干擾RDP用戶端的網路連線,即可在此時存取RDP用戶端而不需輸入任何驗證帳密。研究人員相信,整合Windows登入視窗的雙因素驗證(2FA)系統,如Duo Security MFA也可用這個方法繞過,甚至企業實行的任何登入驗證都可因此繞過。

CERT/CC認為,這個漏洞除了當事人微軟著手修補之外,目前沒有其他解法。所幸這類駭入方法需要駭客干擾網路連線,因此RDP系統被大規模攻擊的機率很小。在研究人員通知微軟後,微軟評估未達風險層級,短期內也不打算修補。

不過研究人員仍然建議,為杜絕任何風險,使用者應鎖定本機系統(而非遠端系統),同時非必要時應切斷RDP連線,而不只是鎖定而已。


Advertisement

更多 iThome相關內容