Onderzoekers vinden nieuw zero-daylek in remote desktop prot

Oei, dat is wel erg slordig inderdaad... Ga ik gelijk even aanpassen, goed dat je het meldt. Ben ook bezig met followupartikel daarover dus kan ik dat gelijk meenemen!

Dat is inderdaad nogal een verschil met een aanval die vanaf een willekeurig systeem gedaan kan worden ja.

Wel interessant though, het werkt inderdaad zo. Inloggen op RDP, RDP sessie locken, wifi disconnect > connect. RDP reconnect automatisch en is inderdaad niet op slot. Kinderlijk eenvoudig.

Nog een goede reden dus om je PC niet onbeheerd (en onvergrendeld) achter te laten als je even koffie gaat halen

@TijsZonderH dat behoeft nog wel enige rectificatie dus

[ Voor 7% gewijzigd door Orion84 op 05-06-2019 14:59 ]

Er staat dat een patch op 11 juni uit komt, dit is niet correct. Microsoft vind het geen urgent issue. Hun volgende patchronde is 11 juni, maar dit wil niet zeggen dat er dan een patch zal bij zijn voor deze 0day, dit is gewoon een standaard patch dag.

"Tammariello reported his findings to Microsoft, but the tech giant apparently does not plan on patching the vulnerability too soon.

“After investigating this scenario, we have determined that this behavior does not meet the Microsoft Security Servicing Criteria for Windows,” Microsoft said, according to CERT/CC vulnerability analyst Will Dormann."

Sowieso is het dus eigenlijk alles behalve een 0-day en ook niet echt een ontdekking. Het is al lang en breed bekend dat het zich zo gedraagt: https://social.technet.mi...n-after-session-reconnect (gerapporteerd door tweaker @Rataplan_, zie ook Rataplan_ in 'nieuws: Onderzoekers vinden zero-daylek in remote desktop proto...

Eerder deze week waarschuwde de NSA systeembeheerders nog dat zij hun netwerken moesten updaten

Tja, beide artikelen plaatsen bepaalde verantwoordelijkheden bij verkeerde afdelingen. Ligt er maar net aan hoe gesegmenteerd een ICT-afdeling is.

Komt meer op me over dat er ergens een (letterlijke) vertaling niet correct geinterpreteerd is. Het artikel van gisteren (waarin NLA aan moet, als voorbeeld), is vaak geen taak voor "network admins" maar voor "OS admins".

Iets met marge & geneuzel

Wat ook niet is overgenomen is dat het lek CVE-2019-9510 alleen werkt als RDP gebruik maakt van Network Level Authentication. Dat werd gisteren al gemeld in het bericht van Carnegie Mellon. Het toepassen van NLA werd onlangs door Microsoft aanbevolen om CVE-2019-0708 bijna onmogelijk te maken.

Bij NLA moet je eerst authenticeren voordat de RDP sessie start. NLA moet dan zowel door de client als de server ondersteund worden en dan ook nog met een bepaalde implementatie van NLA. NLA zou standaard niet op alle Windows server versies aan staan. Daarnaast hangt het er ook vanaf of de client het kan gebruiken.

In het bericht van Carnegie Mellon staat dat het lek bestaat sinds vernieuwing in Windows 10 1803, Server 2019 of nieuwere systemen met RDP. Dat lijkt uit te sluiten dat combinaties met oudere versies last van dit lek hebben, zelfs als NLA wel in gebruik is.

Microsoft stelt dat NLA cve-2019-0708 voorkomt als de exploit voor cve-2019-0708 geen authenticatiegegevens heeft. Daarmee lijkt cve-2019-0708 dus heel wat anders te zijn dan deze cve-2019-9510. https://blogs.technet.mic...p-services-cve-2019-0708/