Une nouvelle vulnérabilité découverte dans le protocole de bureau à distance de Windows

Le chercheur en sécurité informatique Joe Tammariello a découvert une nouvelle vulnérabilité dans le protocole Windows RDP (« Remote Desktop Protocol », Protocole de bureau à distance), permettant de contrôler un ordinateur Windows à distance. Microsoft Windows Remote Desktop prend en charge une fonctionnalité appelée NLA (« Network Level Authentication », Authentification au niveau du réseau) qui déporte l'authentification d'une session distante de la couche RDP vers la couche réseau. Cette fonctionnalité est recommandée notamment pour réduire les attaques sur le protocole de bureau à distance de Microsoft.

Cette vulnérabilité permet à un attaquant local de passer outre l’écran « verrouillé » de Windows, avec le compte de l'utilisateur ayant précédemment verrouillé sa session, sans avoir besoin d’identifiants de connexion. L'exploitation de cette vulnérabilité serait cependant limité,un accès physique à  l'ordinateur connecté en RDP étant nécessaire.

Il n’existe à ce jour pas de correctif. En raison d'une exploitabilité jugée faible, Microsoft a déclaré qu'il ne s'agissait pas d'une priorité actuellement.

Détails techniques :

  • CVE-2019-9510 : Un défaut de conception cause un comportement inattendu lors de la reconnexion à une session RDP verrouillée : celle-ci est restaurée dans un état déverrouillé. Un scénario d’attaque pour mieux comprendre la vulnérabilité a été décrite par les équipes du CERT/CC : 
    1. L’utilisateur cible se connecte à un Windows 10 ou Windows Server 2019 en utilisant la fonctionnalité bureau à distance (RDP).
    2. L’utilisateur cible verrouille sa session à distance sans la terminer et laisse sans surveillance son appareil.
    3. Un attaquant ayant un accès physique à l’appareil de l'utilisateur interrompt la connexion réseau de l’appareil. Le logiciel client RDP se reconnecte automatiquement au système distant dès que la connexion Internet est rétablie.
    4. En raison de cette vulnérabilité, la session RDP reconnectée est restaurée sur un bureau connecté plutôt que sur l'écran verrouillage. L'attaquant obtient ainsi un accès au système distant (connecté via RDP).

Il est à noter que les systèmes d'authentification multifacteurs qui s'intègrent à l'écran de connexion Windows ne constitueraient pas un mécanisme de contournement de cette vulnérabilité.

Informations
+

Risques

  • Atteinte à la confidentialité, intégrité ou disponibilité des données ;
  • Déni de service.

Criticité

  • Score CVSS : en cours d'évaluation.

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun code d'exploitation n'est nécessaire pour exploiter la vulnérabilité, il suffit de déconnecter et reconnecter l'accès réseau de l'ordinateur client.

Composants & versions vulnérables

  • Windows 10 1803 et ultérieur ;
  • Windows Server 2019.

CVE

  • CVE-2019-9510

Recommandations
+

Mise en place de correctif de sécurité

  • Aucun correctif de sécurité n'est actuellement déployé ni prévu.

Solution de contournement

  • Ne pas "verrouiller" une session RDP mais se "déconnecter" de la session.