由于之前版本的严重故障以及撤回和重新改进,Microsoft现在在推送新版本时相对谨慎。 Windows 10 版本 1903 的正式版本仍然存在许多已知问题,已知问题代表 Microsoft 已确认的问题。
安全研究人员声称,攻击者可以利用 Windows 1903 更新中的网络身份验证 (NLA) 漏洞来控制远程会话。 据悉,NLA 旨在防止攻击者远程登录用户的 Windows PC。 它将要求登录人员提供必要的详细信息以进行身份验证。 攻击者不应该知道这些细节,除非你与外界分享它们。
问题是在最新的 Windows 10 1903(2019 年 5 月更新)中,NLA 的工作原理发生了变化。 NakedSecurity表示:
新的身份验证机制在 RDP 主机上缓存客户端的登录凭据,以便在客户端失去连接时客户端可以快速再次登录,此更改允许攻击者绕过 Windows 锁屏界面。
NakedSecurity 已向计算机应急响应小组 (CERT CC) 发出警告,该警告已在安全公告 (VU 576688) 中详细说明。
因此,重新连接的 RDP 会话将恢复到登录后界面,而不是留在登录屏幕上,这意味着无需手动输入任何凭据即可完成远程系统解锁。
更糟糕的是,该漏洞允许攻击者绕过多因素身份验证(MFA)系统,Microsoft认为这是一项特殊的RDP功能。 该公司回应:
经过调查,我们得出结论,此事符合 Microsoft 的 Windows 安全服务标准,在本例中为 Windows Server 2019 支持的网络级身份验证 (NLA)。
NLA 在连接的早期要求提供用户信息,并在用户进入会话(或重新连接)时使用相同的凭据。
只要它已连接,客户端就会缓存该凭据,并在需要自动重新连接时调用它(因此它能够绕过 NLA)。
在我看来,鉴于Microsoft只承认这是一个功能而不是一个错误,这并不意味着它不会很快提供任何修复程序。 建议用户尽可能使用本地计算机的锁屏界面机制(而不是远程桌面连接)。