Cómo Silverfort Supera la nueva vulnerabilidad de omisión de pantalla de bloqueo (CVE-2019-9510)

La semana pasada, CERT publicó un aviso sobre una vulnerabilidad de Windows (CVE-2019-9510) que permite omitir de manera efectiva la autenticación multifactor (MFA) en servidores Windows. Microsoft se apresuró a descartar la vulnerabilidad. Pero se mire como se mire, la mayoría MFA soluciones, los escritorios remotos bloqueados se pueden desbloquear debido a esta vulnerabilidad sin usar MFA, incluso si se aplica MFA en el servidor.

CERT dijo que no existe una solución práctica al problema y recomendó algunas soluciones. En este post te mostramos cómo Silverfort puede utilizarse para superar esta vulnerabilidad.

La vulnerabilidad explicada

La vulnerabilidad es el resultado de un nuevo comportamiento de la función de reconexión RDP en Windows 10 1803 y Windows Server 2019. Si el nivel de red Autenticación (NLA), la siguiente secuencia de eventos desencadena la vulnerabilidad:

Una secuencia similar de eventos conducirá a la vulnerabilidad incluso si no se aplica NLA. El problema con estos flujos es que el usuario bloqueó el escritorio remoto, pero el atacante lo volvió a abrir sin que el usuario ingresara la contraseña, basándose únicamente en la Kerberos boleto. Este flujo sigue siendo el mismo incluso si un Se implementa la solución MFA para el inicio de sesión en el escritorio. Se esperaría que el escritorio remoto requiera que el usuario vuelva a ingresar su contraseña y proporcione el segundo factor de autenticación para desbloquear el escritorio remoto. Pero este no es el caso con el nuevo comportamiento de reconexión RDP.

La vulnerabilidad tiene dos efectos principales:

• El usuario se vuelve a conectar al servidor sin volver a ingresar la contraseña.
• Si una solución MFA protege el inicio de sesión de Windows, en lugar de los protocolos subyacentes Kerberos y NTLM, no es necesario que MFA desbloquee la computadora. Esto afecta a la mayoría Soluciones MFA.

Fácil de reproducir

Para presenciar la vulnerabilidad con sus propios ojos, pruebe los siguientes pasos:

1. Escritorio remoto a Windows 10 1803
2. Bloquear el escritorio remoto
3. Desconecte el dispositivo cliente de la red
4. Vuelva a conectar el dispositivo cliente
5. Estás de vuelta en la sesión de escritorio remoto sin volver a ingresar tu contraseña

¿Por qué Silverfort no se ve afectado

Considere un escritorio remoto protegido por Silverfort. Silverfort puede proteger cualquier servicio Kerberos que se ejecute en el escritorio remoto, incluidos los servicios de terminal (termsrv). una política en Silverfort Se puede configurar para que requiera MFA cada vez que se solicite un ticket de Termsrv al escritorio remoto.

Ahora reconsideremos la secuencia de eventos que llevaron a la vulnerabilidad, pero esta vez con Silverfort:

Al requerir una autenticación intensificada para la solicitud de ticket Kerberos, además del inicio de sesión en el escritorio, Silverfort es capaz de bloquear el ataque.

Moraleja de la historia

Esta vulnerabilidad muestra que no basta con tener MFA para una interfaz de un sistema. Todos los puntos de acceso a un sistema deben protegerse con MFA para protegerlo de compromisos.

Seguí leyendo

Nota de vulnerabilidad VU#576688

Descripción de Microsoft de la función de reconexión RDP

la respuesta de microsoft

 Yaron Kassner, CTO y cofundador, Silverfort

SilverfortCTO y cofundador de Yaron Kassner es un experto en ciberseguridad y tecnología de big data. Antes de cofundar Silverfort, Yaron se desempeñó como consultor experto en big data para Cisco. También desarrolló nuevas capacidades que involucran análisis de big data y algoritmos de aprendizaje automático en Microsoft. Antes de eso, Yaron sirvió en la unidad cibernética de élite 8200 de las Fuerzas de Defensa de Israel, donde dirigió un equipo de investigación y desarrollo de buena reputación, ascendió al rango de Capitán y recibió un prestigioso premio a la excelencia. Yaron tiene un B.Sc. en Matemáticas, Summa Cum Laude, M.Sc. y doctorado. en Ciencias de la Computación del Technion – Instituto de Tecnología de Israel.