首页 > 安全钻研 > 安全传递 > 安全公告

远程桌面服务0day缝隙安全公告

颁布功夫 2019-06-05

缝隙编号和级别

CVE编号：CVE-2019-9510，危险级别：中危，CVSS分值：4.6

影响版本

受影响的版本

Windows 10 1803或Server 2019或更新的系统

缝隙概述

钻研人员发现一个新0day，可导致攻击者劫持现有的远程桌面服务会话，获取对推算机的接见权限。该0day可被用于绕过Windows设备的锁屏，即便双成分认证如Duo Security MFA开启也不例表。组织机构可能设置的其它登录配置也可遭绕过。

Microsoft Windows远程桌面支持称为网络级别身份验证（NLA）的职能，该职能可将远程会话的身份验证方面从RDP层移至网络层。建议使用NLA来削减使用RDP和谈露出的系统的攻击面。在Windows中，能够锁定会话，向用户显示必要身份验证能力持续使用会话的屏幕�；峄八芄煌ü齊DP产生，其方式与锁定本地会话的方式一样。

从Windows 10 1803（2018年4月颁布）和Windows Server 2019起头，基于NLA的RDP会话的处置方式产生了变动，导致会话锁定方面的意表行为。若是网络异常触发一时RDP断开衔接，则在自动沉新衔接时，无论远程系统若何脱离，RDP会话都将复原到解锁状态。例如，请思考以下步骤：

用户使用RDP衔接到远程Windows 10 1803或Server 2019或更新的系统。

用户锁定远程桌面会话。

用户脱离并留下RDP客户端

此时，攻击者能够中断RDP客户端系统的网络衔接。一旦复原互联网衔接，RDP客户端软件将自动沉新衔接到远程系统。但由于此缝隙，沉新衔接的RDP会话将还原到登录桌面而不是登录屏幕。这意味着远程系统解锁而无需手动输入任何痛处。

缝隙验证

暂无POC/EXP。

建复建议

目前微软并未筹算近期建复，用户可通过锁定本地系统而非远程系统的方式，或通过断开远程桌面会话而非仅锁定会话的方式预防遭该缝隙影响。

参考链接

https://kb.cert.org/vuls/id/576688/
https://www.bleepingcomputer.com/news/security/remote-desktop-zero-day-bug-allows-attackers-to-hijack-sessions/

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

远程桌面服务0day缝隙安全公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线