Specjaliści zajmujący się bezpieczeństwem informatycznym wskazują, że Windows 10 w wersji 1903, czyli May 2019 Update, zawiera poważny błąd w mechanizmie Network Level Authentication (NLA), który umożliwia atakującym przejęcie kontroli nad sesjami zdalnymi systemu.
Mechanizm ten ma za zadanie zablokować próbę logowania zdalnego i poprosić o dodatkowe dane uwierzytelniające . W czym więc tkwi problem? Mechanizm uwierzytelniania buforuje poświadczenia logowania klienta na hoście protokołu Pulpitu zdalnego, aby mógł szybko ponownie zalogować klienta, jeśli utraci łączność.
Ta drobna zmiana jest jednocześnie sporą podatnością zdaniem specjalistów z CERT. Luka ta sprawia, że po wznowieniu połączenia z sesją pulpitu zdalnego przywracana jest ona bezpośrednio do zablokowanego wcześniej pulpitu, a nie do ekranu logowania. Oznacza to, że system zdalny odblokowuje się bez konieczności ręcznego wprowadzania jakichkolwiek dodatkowych poświadczeń.
Co na to Microsoft? Po przeanalizowaniu tej kwestii stwierdził, że nie jest to błąd, a całkowicie prawidłowe działanie tej funkcji. W takim razie raczej nie powinniśmy się spodziewać łatki. Krótko mówiąc:
It's not a bug, it's a feature
Co można w takiej sytuacji zrobić? Specjaliści z CERT proponują kilka rozwiązań. Po pierwsze, możemy wyłączyć automatyczne łączenie z serwerem RDP. Po drugie, możemy też lokalnie zabezpieczyć maszyny, które łączą się z serwerem zdalnym. Po trzecie, specjaliści sugerują każdorazowe rozłączanie sesji zamiast wylogowania.
341f31d.png)