Omisión de la pantalla de bloqueo en Windows 10 por nueva falla del protocolo RDP

0 0 jueves, 6 de junio de 2019

Identificado por CVE-2019-9510, la reciente vulnerabilidad reportada podría permitir a los atacantes del lado del cliente eludir la pantalla de bloqueo en las sesiones de escritorio remoto (RDP), la cual aún no ha sido parcheada.

La falla se origina cuando la función de Escritorio Remoto de Microsoft Windows requiere que los clientes se autentiquen por NLA (Autenticación de Nivel de Red), una función que Microsoft recomendó recientemente como una solución contra la vulnerabilidad crítica BlueKeep.

A continuación, el experto a cargo de la investigación, mediante un video PoC (Proof of concept), que demuestra lo sencillo que es explotar esta vulnerabilidad.


El escenario de ataque se describe de la siguiente manera:
  1. Un usuario específico se conecta a un sistema Windows 10 o Server 2019 a través de RDS (Remote Desktop Services).
  2. El usuario bloquea la sesión remota y deja el dispositivo cliente sin supervisión.
  3. En este punto, un atacante con acceso al dispositivo cliente puede interrumpir su conectividad de red y obtener acceso al sistema remoto sin necesidad contar con las credenciales.

Esto significa que explotar esta vulnerabilidad es bastante “trivial”, ya que el atacante solo necesita interrumpir la conectividad de la red de un sistema específico, sin embargo, dado que el atacante requiere acceso físico al sistema (es decir, una sesión activa con pantalla bloqueada), el escenario en sí limita la superficie de ataque en gran medida.

El investigador notificó la falla el pasado 19 de abril, pero la compañía respondió diciendo que "el comportamiento no cumple con los Criterios de Servicio de Seguridad de Microsoft para Windows", lo que significa que el gigante tecnológico no tiene planes de solucionar el problema a corto plazo, la declaración completa es:
Después de investigar este escenario, hemos determinado que este comportamiento no cumple con los Criterios de servicio de seguridad de Microsoft para Windows. Lo que está observando es Windows Server 2019 que respeta la autenticación de nivel de red (NLA). La autenticación de nivel de red requiere credenciales de usuario para permitir que la conexión proceda en la fase más temprana de conexión. Estas mismas credenciales se utilizan para registrar al usuario en una sesión (o para volver a conectarlo). Mientras esté conectado, el cliente almacenará en caché las credenciales utilizadas para la conexión y las reutilizará cuando necesite volver a conectarse automáticamente (para que pueda pasar por alto el NLA).
La recomendación directa hacia los usuarios para protegerse contra esta vulnerabilidad es bloquear el sistema de forma local en lugar de hacerlo conectado vía remota, desconectando las sesiones de escritorio remoto.


REFERENCIA

Etiquetas:

COMPARTIR:

Twitter Facebook Google Pinterest

COMENTARIOS

BLOGGER
Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Omisión de la pantalla de bloqueo en Windows 10 por nueva falla del protocolo RDP
Omisión de la pantalla de bloqueo en Windows 10 por nueva falla del protocolo RDP
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgvhV4vp2cI0oAR-5AA4b_qRD2TySUFBRWEWYV_yL1hnGOMv67y0O2tB2cQRMxfp2QZ2qDJ4mn_yZTxMrxZsl9vV3pjbautaJUhuyE0VRfi11mYCZIL63hMWgEU_P5PEqd4qPCNgJARqmU/s640/rdp+sesion+bypass.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgvhV4vp2cI0oAR-5AA4b_qRD2TySUFBRWEWYV_yL1hnGOMv67y0O2tB2cQRMxfp2QZ2qDJ4mn_yZTxMrxZsl9vV3pjbautaJUhuyE0VRfi11mYCZIL63hMWgEU_P5PEqd4qPCNgJARqmU/s72-c/rdp+sesion+bypass.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/06/omision-de-la-pantalla-de-bloqueo-en.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/06/omision-de-la-pantalla-de-bloqueo-en.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy