image

Vergrendelde Windows RDP-sessie door bug te ontgrendelen

dinsdag 4 juni 2019, 17:03 door Redactie, 10 reacties

Een feature die het Windows remote desktopprotocol (RDP) ondersteunt maakt het mogelijk voor een aanvaller om de schermvergrendeling van het besturingssysteem te omzeilen en zo op afstand vergrendelde RDP-sessie te ontgrendelen.

RDP ondersteunt een feature genaamd Network Level Authentication (NLA), dat het authenticatiegedeelte van de remote sessie van de RDP-laag naar de netwerklaag verplaatst. Dit moet het aanvalsoppervlak van het systeem verkleinen. Net zoals bij een lokaal systeem mogelijk is, kan ook via RDP een systeem worden vergrendeld. De gebruiker krijgt in dit geval een inlogscherm te zien. Zodra de gebruiker inlogt wordt de sessie hervat.

Met de lancering van Windows 10 versie 1803 en Windows Server 2019 gaat Windows RDP anders om met NLA-gebaseerde RDP-sessies, waardoor erbij het vergrendelen van een sessie onverwacht gedrag kan voorkomen. Als de RDP-verbinding tijdelijk wordt onderbroken zal bij het automatisch hervatten van de verbinding de RDP-sessie ontgrendeld zijn, ongeacht hoe het op afstand beheerde systeem was achtergelaten.

Een gebruiker logt bijvoorbeeld in via RDP en vergrendelt vervolgens de remote desktopsessie. De gebruiker verlaat hierna het systeem dat als RDP-client wordt gebruikt. Op dit moment kan een aanvaller in de buurt de netwerkverbinding van het RDP-clientsysteem onderbreken. Dit zorgt ervoor dat het remote systeem op dat moment ontgrendeld wordt en er zonder inloggegevens kan worden ingelogd. Tweefactorauthenticatie-oplossingen die in het Windows-inlogscherm zijn geïntegreerd worden op deze manier ook omzeild.

Een praktische oplossing is nog niet voorhanden, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Als workaround wordt aangeraden om toegang tot RDP-clientsystemen te beschermen. Gebruikers moeten in dit geval niet het remote systeem vergrendelen, maar hun lokale systeem. Daarnaast adviseert het CERT/CC om RDP-sessies niet te vergrendelen, maar de verbinding van de RDP-sessie te verbreken.

Reacties (10)
04-06-2019, 17:51 door Anoniem
Of, misschien een hele gekke gedachten, melden we ons gewoon netjes af zodra we klaar zijn met werken op een server :)
04-06-2019, 19:43 door Anoniem
Afmelden... Op veel productieservers draait echter software die niet als service is geinstalleerd, waardoor deze stopt bij een sign out.

RDP is een draak, dat is het altijd geweest en dat zal het bleijven, maar het is zo makkelijk in je domeintje. En dan heb ik het nog niet over bestanden kopieren via RDP...

Heb je een collega die een dure MSCE cursus heeft gedaan, dan merk je vanzelf dat die nooit 3rd party oplossingen mag gebruiken. Gelukkig zijn er oplossingen als VNC over een tunnel of desnoods Teamviewer of het nog immer instabiele NetOp.
04-06-2019, 20:59 door Anoniem
Door Anoniem: Afmelden... Op veel productieservers draait echter software die niet als service is geinstalleerd, waardoor deze stopt bij een sign out.
Is geen RDP issue. Moet je eigenlijk niet willen draaien, of je moet een goede oplossing bedenken.

RDP is een draak, dat is het altijd geweest en dat zal het bleijven, maar het is zo makkelijk in je domeintje.
Je bedoel de standaard tool, die eigenlijk ieder bedrijf wel gebruikt om servers te beheren? Misschien moet je eens "hoe tem je een draak" kijken? Want we beheren hier zo duizenden servers zonder enig probleem met RDP.

En dan heb ik het nog niet over bestanden kopieren via RDP...
Ik copier hier zo 4Gb door een RDP sessie heen. Dus blijkbaar kan het wel goed werken? Is het ideaal zeker niet, maar werkt wel gewoon.

Heb je een collega die een dure MSCE cursus heeft gedaan, dan merk je vanzelf dat die nooit 3rd party oplossingen mag gebruiken.
Waarom zou je 3de partij tooling willen gebruiken? Moet je alleen maar extra onderhouden en kan security issues opleveren.

[quote[Gelukkig zijn er oplossingen als VNC over een tunnel of desnoods Teamviewer of het nog immer instabiele NetOp.[/quote]VNC als er iets gevaarlijk is, was dat het voeger wel. Waarom allemaal complexe extra tunnel software gaan gebruiken om VNC te gebruiken? Moet je allemaal extra onderhouden en patchen. En is niet noodzakelijk.
Teamviewer zou kunnen, maar ook een extra security issue, omdat het direct over het Internet werkt. Is dus een behoorlijk security issue. Zou hier direct afgeschoten worden door security. En de beheerders die dit zouden adviseren om te gebruiken.... Wel.... die zijn er niet. We zouden het hier niet eens willen adviseren om servers over te nemen. Misschien voor desktops beheer. Maar security technisch zou dit ook een lastige zijn.
05-06-2019, 09:55 door Anoniem
Het RDP protocol is flink onder vuur deze maand...
05-06-2019, 10:24 door [Account Verwijderd]
Door Anoniem:
Heb je een collega die een dure MSCE cursus heeft gedaan, dan merk je vanzelf dat die nooit 3rd party oplossingen mag gebruiken.
Waarom zou je 3de partij tooling willen gebruiken? Moet je alleen maar extra onderhouden en kan security issues opleveren.

Je ziet wat er security issues oplevert! De in-house oplossingen van Microsoft (zoals RDP).
05-06-2019, 10:36 door nva
Het RDP protocol is niet zozeer het probleem. Elk protocol heeft zo z'n zwakheden. Zo zou ik Teamviewer dus NOOIT vertrouwen om permanent aan te staan op een server...dat is namelijk altijd direct van buitenaf benaderbaar en daar zijn ook hacks geweest. Zie o.a.: https://www.zdnet.com/article/chinese-cyberspies-breached-teamviewer-in-2016/. RDP kun je nog achter een firewall met VPN plaatsen (wat ik overigens ten allertijde zou adviseren)

Het probleem van het niet installeren van patches en het niet snel beschikbaar stellen van patches is hier het probleem.
05-06-2019, 11:16 door Anoniem
Ahum, met de recentelijke RDP-patch ben je op dit punt dus beter af met Windows XP? ...

Je vraagt je bijna af: gaat het artikel over Microsoft of over Huawei?
05-06-2019, 11:59 door Anoniem
Door The phalanx:
Door Anoniem:
Heb je een collega die een dure MSCE cursus heeft gedaan, dan merk je vanzelf dat die nooit 3rd party oplossingen mag gebruiken.
Waarom zou je 3de partij tooling willen gebruiken? Moet je alleen maar extra onderhouden en kan security issues opleveren.

Je ziet wat er security issues oplevert! De in-house oplossingen van Microsoft (zoals RDP).
VNC Viewer staat nu ook niet echt bekend om zijn security. Nog afgezien je deze iet even gemakkelijk kan updaten.
Daarnaast, de inhouse oplossing is alleen in oude versies een issue, en gemakkelijk verhelpen icm WSUS of andere tooling.
Teamviewer.... Remote toegang vanaf het Internet. Lekker veilig.....

Geef mij maar gewoon RDP, welke heel goed beheersbaar en controleerbaar is.
06-06-2019, 08:26 door [Account Verwijderd] - Bijgewerkt: 06-06-2019, 08:30
Door Anoniem: Geef mij maar gewoon RDP, welke heel goed beheersbaar en controleerbaar is.

Windows is gewoon te onveilig om toegang op afstand toe te staan. Beheersbaarheid en controleerbaarheid zijn onder Windows een illusie, met wat voor software dan ook. Als je een besturingssysteem met remote toegang nodig hebt dan zal je geen Windows kunnen gebruiken.
07-06-2019, 10:25 door Anoniem
Dit is geen bug.
Dit is iets dat de onderzoekers er niet bij vertellen. Dit werkt alleen als je al toegang hebt op het werkstation.
Als jij je werkstation niet lockt als je wegloopt bij je computer, dan is het risico dat iemand je gelockte RDP sessie kan openen niet je grootste probleem.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.