Nuevo zero day de Windows permite a los atacantes secuestrar sesiones de Escritorio Remoto activas

Esta vulnerabilidad permite a los atacantes pasar por alto la pantalla de bloqueo de Windows en los sistemas, incluso aquellos equipos que tienen autenticación de dos factores.

Se ha descubierto una vulnerabilidad de día cero que afecta a los sistemas de Windows con sesiones activas de Protocolo de escritorio remoto (RDP).

Este día cero afecta en específico a Windows 10 versión 1803 y versiones posteriores, así como a Windows Server 2019.

Rastreado como CVE-2019-9510, la vulnerabilidad se encuentra en la Autenticación de nivel de red RDP (NLA) de Windows que permite a los atacantes eludir la pantalla de bloqueo de Windows y permitir el acceso no autorizado al sistema.

El panorama

Un aviso publicado por el Centro de Coordinación CERT, en la Universidad Carnegie Mellon, indica que las sesiones RDP basadas en NLA tuvieron un comportamiento inesperado cuando se trató de bloqueo de sesión.

Esto llevó a la condición «desbloqueada» del sistema cada vez que se reiniciaban las conexiones RDP, independientemente de cómo quedara el sistema. En esencia, los sistemas remotos con la pantalla de bloqueo de Windows activada podrían desbloquearse sin requerir credenciales.

Debido a esta falla, los mecanismos de autenticación de dos factores (2FA), como Duo Security MFA, también podrían ser anulados.

A partir de ahora, no hay parches de seguridad provistos por Microsoft para remediar este día cero. Sin embargo, el aviso sugiere algunas soluciones para prevenir la falla.

El aviso sugirió que la falla se debía al comportamiento de la pantalla de bloqueo cuando las sesiones RDP estaban activas.

“Es importante tener en cuenta que esta vulnerabilidad es con el comportamiento de la pantalla de bloqueo de Microsoft Windows cuando se usa RDP, y la vulnerabilidad está presente cuando no se instalan soluciones MFA.