Оприлюднено уразливість Windows, яка дозволяє обійти двофакторну аутентифікацію

Експерти оприлюднили інформацію про нову уразливість, яка зачіпає протокол віддаленого робочого стола (RDP) в операційній системі Microsoft Windows, яка надає можливість обійти блокування екрану під час сеансу віддаленого підключення.

Баг, який отримав ідентифікатор CVE-2019-9510, зачіпає редакцію Windows 10 (починаючи з версій 1803, Server 2019 і вище). Як пояснили експерти, проблема пов’язана з функцією аутентифікації на рівні мережі (Network Level Authentication, NLA) і проявляється в разі тимчасового роз’єднання підключення по RDP (навіть якщо користувач спеціально встановив блокування екрану під час сеансу). При повторному автоматичному підключенні сесія відновлюється в розблокованому вигляді.

Ця уразливість дозволяє обійти механізми двофакторної аутентифікації, такі як Duo Security MFA, а також інші методи блокування, реалізовані організаціями, відзначають фахівці.

Атака досить проста:

• жертва підключається до системи на базі Windows 10 або Server 2019 через службу віддаленого робочого столу, блокує сеанс віддаленого підключення і залишає пристрій без нагляду;
• зловмисник отримує можливість порушити підключення і отримати доступ до віддаленої системи без усіляких облікових даних. Нюанс полягає в тому, що для атаки злочинцеві потрібно мати фізичний доступ до цільового пристрою.

Дослідники поінформували Microsoft про уразливість в квітні нинішнього року, однак компанія відмовилася розглядати її як проблему безпеки і, судячи з усього, не має наміру випускати патч найближчим часом.

Нагадаємо, фахівець з безпеки Патрік Уордл (Patrick Wardle) розповів про нову уразливість в macOS, що дозволяє хакерам або шкідливим програмам обійти деякі захисні механізми в ОС за допомогою так званих “синтетичних” кліків (невидимі кліки, які генеруються ПЗ, а не людиною)

Також фахівці Trend Micro виявили нову кампанію з видобутку криптовалюти Monero, націлену на web-сервери, мережеві і знімні накопичувачі.

Окрім цього, Microsoft випустила низку оновлень, що знімають уразливості Zombieload, RIDL, Fallout і Store-to-Leak Forwarding, виявлені в процесорах Intel. Оновлення доступні для  версії Windows 10 і Windows server за цим посиланням.