Vergrendelde Windows RDP-sessie door bug te ontgrendelen
Een feature die het Windows remote desktopprotocol (RDP) ondersteunt maakt het mogelijk voor een aanvaller om de schermvergrendeling van het besturingssysteem te omzeilen en zo op afstand vergrendelde RDP-sessie te ontgrendelen.
RDP ondersteunt een feature genaamd Network Level Authentication (NLA), dat het authenticatiegedeelte van de remote sessie van de RDP-laag naar de netwerklaag verplaatst. Dit moet het aanvalsoppervlak van het systeem verkleinen. Net zoals bij een lokaal systeem mogelijk is, kan ook via RDP een systeem worden vergrendeld. De gebruiker krijgt in dit geval een inlogscherm te zien. Zodra de gebruiker inlogt wordt de sessie hervat.
Met de lancering van Windows 10 versie 1803 en Windows Server 2019 gaat Windows RDP anders om met NLA-gebaseerde RDP-sessies, waardoor erbij het vergrendelen van een sessie onverwacht gedrag kan voorkomen. Als de RDP-verbinding tijdelijk wordt onderbroken zal bij het automatisch hervatten van de verbinding de RDP-sessie ontgrendeld zijn, ongeacht hoe het op afstand beheerde systeem was achtergelaten.
Een gebruiker logt bijvoorbeeld in via RDP en vergrendelt vervolgens de remote desktopsessie. De gebruiker verlaat hierna het systeem dat als RDP-client wordt gebruikt. Op dit moment kan een aanvaller in de buurt de netwerkverbinding van het RDP-clientsysteem onderbreken. Dit zorgt ervoor dat het remote systeem op dat moment ontgrendeld wordt en er zonder inloggegevens kan worden ingelogd. Tweefactorauthenticatie-oplossingen die in het Windows-inlogscherm zijn geïntegreerd worden op deze manier ook omzeild.
Een praktische oplossing is nog niet voorhanden, zo waarschuwt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. Als workaround wordt aangeraden om toegang tot RDP-clientsystemen te beschermen. Gebruikers moeten in dit geval niet het remote systeem vergrendelen, maar hun lokale systeem. Daarnaast adviseert het CERT/CC om RDP-sessies niet te vergrendelen, maar de verbinding van de RDP-sessie te verbreken.
RDP is een draak, dat is het altijd geweest en dat zal het bleijven, maar het is zo makkelijk in je domeintje. En dan heb ik het nog niet over bestanden kopieren via RDP...
Heb je een collega die een dure MSCE cursus heeft gedaan, dan merk je vanzelf dat die nooit 3rd party oplossingen mag gebruiken. Gelukkig zijn er oplossingen als VNC over een tunnel of desnoods Teamviewer of het nog immer instabiele NetOp.
[quote[Gelukkig zijn er oplossingen als VNC over een tunnel of desnoods Teamviewer of het nog immer instabiele NetOp.[/quote]VNC als er iets gevaarlijk is, was dat het voeger wel. Waarom allemaal complexe extra tunnel software gaan gebruiken om VNC te gebruiken? Moet je allemaal extra onderhouden en patchen. En is niet noodzakelijk.
Teamviewer zou kunnen, maar ook een extra security issue, omdat het direct over het Internet werkt. Is dus een behoorlijk security issue. Zou hier direct afgeschoten worden door security. En de beheerders die dit zouden adviseren om te gebruiken.... Wel.... die zijn er niet. We zouden het hier niet eens willen adviseren om servers over te nemen. Misschien voor desktops beheer. Maar security technisch zou dit ook een lastige zijn.
Je ziet wat er security issues oplevert! De in-house oplossingen van Microsoft (zoals RDP).
Het probleem van het niet installeren van patches en het niet snel beschikbaar stellen van patches is hier het probleem.
Je vraagt je bijna af: gaat het artikel over Microsoft of over Huawei?
Je ziet wat er security issues oplevert! De in-house oplossingen van Microsoft (zoals RDP).
Daarnaast, de inhouse oplossing is alleen in oude versies een issue, en gemakkelijk verhelpen icm WSUS of andere tooling.
Teamviewer.... Remote toegang vanaf het Internet. Lekker veilig.....
Geef mij maar gewoon RDP, welke heel goed beheersbaar en controleerbaar is.
Windows is gewoon te onveilig om toegang op afstand toe te staan. Beheersbaarheid en controleerbaarheid zijn onder Windows een illusie, met wat voor software dan ook. Als je een besturingssysteem met remote toegang nodig hebt dan zal je geen Windows kunnen gebruiken.
Dit is iets dat de onderzoekers er niet bij vertellen. Dit werkt alleen als je al toegang hebt op het werkstation.
Als jij je werkstation niet lockt als je wegloopt bij je computer, dan is het risico dat iemand je gelockte RDP sessie kan openen niet je grootste probleem.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.