ແຈ້ງເຕືອນ ພົບຊ່ອງໂຫວ່ RDP ໃໝ່ ຜູ້ໂຈມຕີສາມາດລັກ Session ໄດ້
Posted by Meesaisak on June 20 2019 17:02:19

ແຈ້ງເຕືອນ ພົບ​ຊ່ອງ​ໂຫວ່ RDP ໃໝ່ ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ລັກ Session ໄດ້ 

News Images: ran2.jpg

ພົບ​ຊ່ອງ​ໂຫວ່​ທີ່​ຍັງ​ບໍ່​ໄດ້ຖືກແກ້​ໄຂ​ໃນ Microsoft Windows Remote Desktop Protocol (RDP) ໂດຍ​ຜູ້​ໂຈມ​ຕີ​ສາມາດເຂົ້າ​ຜ່ານ​ໜ້າ Lock Screen ຂອງທາງ​ຜູ້​ໃຊ້​ງານ​ທີ່​ກຳລັງເຊື່ອມ​ຕໍ່​ຢູ່​ໄດ້. ຊ່ອງໂຫວ່ນີ້ ມີລະຫັດແມ່ນ CVE-2019-9510 ຊຶ່ງມີຜົນກະທົບຕໍ່ Windows 10 ​ເວີຊັ່ນ 1803 ແລະ Windows Server 2019 ໃນ​ການ​ໂຈມ​ຕີ​ນີ້​ເຮັດໃຫ້​ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ລັກ Session ໄດ້, ເຖິງວ່າ​ ໜ້າ​ຈໍ​ຂອງ​ຜູ້​ໃຊ້​ງານ​ຖືກ​ລ໋ອກ​ຢູ່ ໂດຍ​ເກີດ​ຈາກ​ຟັງ​​ຊັ່ນ (Function) Network Level Authentication (NLA) ທີ່​ເຮັດວຽກຜິດປົກກະຕິ.


Extended News

ແຈ້ງເຕືອນ ພົບ​ຊ່ອງ​ໂຫວ່ RDP ໃໝ່ ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ລັກ Session ໄດ້ 

News Images: ran1.jpg

ພົບ​ຊ່ອງ​ໂຫວ່​ທີ່​ຍັງ​ບໍ່​ໄດ້ຖືກແກ້​ໄຂ​ໃນ Microsoft Windows Remote Desktop Protocol (RDP) ໂດຍ​ຜູ້​ໂຈມ​ຕີ​ສາມາດເຂົ້າ​ຜ່ານ​ໜ້າ Lock Screen ຂອງທາງ​ຜູ້​ໃຊ້​ງານ​ທີ່​ກຳລັງເຊື່ອມ​ຕໍ່​ຢູ່​ໄດ້. ຊ່ອງໂຫວ່ນີ້ ມີລະຫັດແມ່ນ CVE-2019-9510 ຊຶ່ງມີຜົນກະທົບຕໍ່ Windows 10 ​ເວີຊັ່ນ 1803 ແລະ Windows Server 2019 ໃນ​ການ​ໂຈມ​ຕີ​ນີ້​ເຮັດໃຫ້​ຜູ້​ໂຈມ​ຕີ​ສາມາດ​ລັກ Session ໄດ້, ເຖິງວ່າ​ ໜ້າ​ຈໍ​ຂອງ​ຜູ້​ໃຊ້​ງານ​ຖືກ​ລ໋ອກ​ຢູ່ ໂດຍ​ເກີດ​ຈາກ​ຟັງ​​ຊັ່ນ (Function) Network Level Authentication (NLA) ທີ່​ເຮັດວຽກຜິດປົກກະຕິ.

          ຊ່ອງ​ໂຫວ່​ນີ້​ຖືກ​ຄົ້ນ​ພົບ​ໂດຍ Joe Tammariello ຈາກ Carnegie Mellon University Software Engineering Institute (SEI) ໂດຍ​ທີມ CERT/CC ຂອງ Carnegie Mellon University ໄດ້​ອະທິບາຍ​ຂັ້ນ​ຕອນ​ໃນ​ການ​ໂຈມ​ຕີ​ດັ່ງ​ນີ້:

  1. User ໃຊ້​ເຄື່ອງ​ຄອມພິວເຕີ​ຕົ້ນ​ທາງ​ເຊື່ອມ​ຕໍ່​ກັບ​ເຄື່ອງ​ຄອມພິວເຕີ​ປາຍ​ທາງ​ທີ່​ເປັນ Windows 10 ເວີຊັ່ນ 1803 ຫຼື Server 2019 ຜ່ານ RDP;
  2. User ລ໋ອກ Remote Desktop Sessions;
  3. User ຍ່າງ​ໄປ​ເຮັດ​ຢ່າງ​ອື່ນ​ໂດຍ​ປ່ອຍ​ໃຫ້​ເຄື່ອງ​ຕົ້ນ​ທາງ​ຍັງ​ເຊື່ອມ​ຕໍ່​ກັບ​ເຄື່ອງ​ປາຍ​ທາງ (ເຄື່ອງ​ຕົ້ນ​ທາງ​ຍັງ​ເປັນ RDP client).

          ຜູ້​ໂຈມ​ຕີ​ທີ່​ສາມາດ​ເຂົ້າ​ເຖິງ​ເຄື່ອງ​ຕົ້ນ​ທາງ​ທີ່​ບໍ່​ມີ​ຄົນ​ເບິ່ງ​ແຍງ​ ຈະ​ສາມາດ​ໂຈມ​ຕີ​ຊ່ອງ​ໂຫວ່​ດັ່ງ​ກ່າວ​ໄດ້ ໂດຍ​ຜູ້​ໂຈມ​ຕີ​ຕ້ອງ​ເຮັດໃຫ້​ການ​ເຊື່ອມ​ຕໍ່​ອິນ​ເຕີເນັດ​ຂອງ​ເຄື່ອງ​ຕົ້ນ​ທາງ​ສະ​ດຸດ ​ເພື່ອ​ໃຫ້​ເກີດ​ການ Reconnect RDP ໄປ​ທີ່​ເຄື່ອງ​ຄອມພິວເຕີ​ປາຍ​ທາງ ຊຶ່ງ​ເມື່ອ Reconnect ແລ້ວ ຜູ້​ໂຈມ​ຕີ​ຈະ​ສາມາດ​ຄວບ​ຄຸມ​ເຄື່ອງ​ປາຍ​ທາງ​ໄດ້ ​ເຖິງວ່າ​ເຄື່ອງ​ປາຍ​ທາງ​ຈະ​ຖືກ​ລ໋ອກ​ຢູ່.

          ວັນທີ 19 ເມສາ 2019 ທີ່ຜ່ານມານີ້ Joe Tammariello ໄດ້​ແຈ້ງ​ໃຫ້​ Microsoft ຮັບຮູ້​ເຖິງ​ບັນຫາ​ນີ້​ແລ້ວ ແຕ່​ທາງ​ບໍລິສັດ​ກໍ​່ຍັງ​ບໍ່​ມີ​ແຜນ​ທີ່​ຈະ​ແກ້​ໄຂ​ໃນ​ໄວໆນີ້.

          ຢ່າງໃດ​ກໍ​່ຕາມ ​ຜູ້​ໃຊ້​ສາມາດ​ປ້ອງ​ກັນ​ຕົວ​ເອງ​ໄດ້​ໂດຍ​ການ​ຕັດ​ການ​ເຊື່ອມ​ຕໍ່ Remote Desktop Sessions ຈາກ​ເຄື່ອງ​ປາຍ​ທາງ​ກ່ອນ​ໄປ​ເຮັດ​ຢ່າງ​ອື່ນ.

          ສາມາດນຳໃຊ້ ຟັງຊັ່ນ NLA ເພື່ອປ້ອງກັນຊ່ວງໂຫວ່ RDP ອີກຊ່ອງໂຫວ່ໜຶ່ງຄື ຊ່ອງໂຫວ່ BlueKeep ເທິງ Windows 7 ແລະ Windows Server 2008 ໄດ້.

ເອກະສານອ້າງອີງ:

  1. https://www.bleepingcomputer.com/news/security/remote-desktop-zero-day-bug-allows-attackers-to-hijack-sessions/
  2. https://www.facebook.com/isecure.mssp/posts/2532984240045645