Se detecta vulnerabilidad en Escritorio Remoto de Windows

S21sec inform贸 que un experto en seguridad ha develado detalles t茅cnicos sobre una nueva vulnerabilidad en Windows (CVE-2019-915). Esta vulnerabilidad a煤n se encuentra sin 鈥減archar鈥 y afecta los servicios de Escritorio Remoto (RDP, por sus siglas en ingl茅s) de Microsoft Windows.

La CVE-2019-9510 podr铆a ser explotada por atacantes que tengan acceso al dispositivo del cliente, con el fin de evitar la pantalla de bloqueo en las sesiones de Escritorio Remoto. Esta vulnerabilidad requiere acceso f铆sico a un sistema espec铆fico.

El Escritorio Remoto de Windows tiene una caracter铆stica conocida como Network Level Authentication (NLA), encargada de desplazar el aspecto de autenticaci贸n de una sesi贸n remota del escritorio a una capa de red.

En Windows 10 1803 (lanzada en abril de 2018) y Windows Server 2019, el manejo de las sesiones RDP basadas en NLA puede causar un comportamiento inesperado con respecto al bloqueo de sesiones. Si una anomal铆a en la red desencadena una desconexi贸n temporal del RDP, al reconectarse autom谩ticamente la sesi贸n RDP se restaurar谩 a un estado desbloqueado, independientemente de c贸mo se haya dejado el sistema remoto.

Un atacante puede interrumpir la conectividad de red del sistema cliente RDP, y el software del cliente RDP se reconectar谩 autom谩ticamente al sistema remoto una vez que se haya restaurado la conexi贸n a Internet. Esta vulnerabilidad reside en el hecho de que la sesi贸n RDP reconectada se restaura en un escritorio conectado, en lugar de hacerlo en la pantalla de inicio de sesi贸n. Esto significa que el sistema remoto se desbloquea sin la necesidad de introducir manualmente alguna credencial.