Zero-Day Lücke umgeht Windows-Sperrbildschirm bei RDP-Sitzungen

Ein Sicherheitsforscher hat heute Details einer neuen, nicht gepatchten Schwachstelle im Microsoft Windows Remote Desktop Protocol (RDP) bekannt gegeben.

Verfolgt als CVE-2019-9510 könnte die gemeldete Schwachstelle es Client-seitigen Angreifern ermöglichen, den Sperrbildschirm bei Remote Desktop (RD)-Sitzungen zu umgehen.

Der Fehler wurde von Joe Tammariello vom Carnegie Mellon University Software Engineering Institute (SEI) entdeckt und besteht, wenn die Microsoft Windows Remote Desktop-Funktion eine Authentifizierung mit Network Level Authentication (NLA) erfordert, einer Funktion, die Microsoft kürzlich als Workaround gegen die kritische BlueKeep RDP-Schwachstelle empfohlen hat.

Laut Will Dormann, einem Schwachstellenanalytiker beim CERT/CC, löst eine Netzwerkanomalie eine temporäre RDP-Trennung aus, während ein Client bereits mit dem Server verbunden war, aber der Anmeldebildschirm gesperrt ist, dann wird "bei erneuter Verbindung die RDP-Sitzung in einen entsperrten Zustand zurückversetzt, unabhängig davon, wie das entfernte System verlassen wurde".

"Seit Windows 10 1803 und Windows Server 2019 hat sich die Windows RDP-Verarbeitung von NLA-basierten RDP-Sitzungen so verändert, dass sie zu unerwartetem Verhalten beim Sperren von Sitzungen führen kann", erklärt Dormann in einem heute veröffentlichten Advisory.

"Zwei-Faktor-Authentifizierungssysteme, die sich in den Windows-Anmeldebildschirm integrieren lassen, wie beispielsweise Duo Security MFA, werden mit diesem Mechanismus ebenfalls umgangen. Alle Login-Banner, die von einer Organisation durchgesetzt werden, werden ebenfalls umgangen."

Video-Demonstration des Proof of Concept

Das CERT beschreibt das Angriffsszenario wie folgt:

  • Ein bestimmter Benutzer verbindet sich über RDS mit einem Windows 10 oder Server 2019 System.
  • Der Benutzer sperrt die Remote-Sitzung und lässt das Client-Gerät unbeaufsichtigt.
  • An dieser Stelle kann ein Angreifer mit Zugriff auf die Client-Vorrichtung seine Netzwerkverbindung unterbrechen und Zugriff auf das entfernte System erhalten, ohne dass er dazu Anmeldeinformationen benötigt.


Das bedeutet, dass die Ausnutzung dieser Schwachstelle sehr trivial ist, da ein Angreifer nur die Netzwerkverbindung eines Zielsystems unterbrechen muss. Da der Angreifer jedoch physischen Zugriff auf ein solches Zielsystem benötigt (d.h. eine aktive Sitzung mit gesperrtem Bildschirm), schränkt das Szenario selbst die Angriffsfläche stärker ein.

Tammariello informierte Microsoft am 19. April über die Schwachstelle, aber das Unternehmen antwortete mit der Aussage, dass das "Verhalten nicht den Microsoft Security Servicing Criteria for Windows entspricht", was bedeutet, dass der Technologieriese keine Pläne hat, das Problem in naher Zukunft zu beheben.

Benutzer können sich jedoch vor einer möglichen Ausnutzung dieser Schwachstelle schützen, indem sie das lokale System anstelle des entfernten Systems sperren und die Remote-Desktop-Sitzungen trennen, anstatt sie nur zu sperren.