研究人员在远程桌面(RDP)里发现缺陷 但微软表示这是新功能不是漏洞

提示:本文所述内容及相关缺陷问题与微软此前通告的远程桌面协议安全漏洞无关、上述漏洞微软已经修复。


微软的远程桌面协议支持NLA即网络级别的身份验证,这项功能旨在验证用户身份进而提供远程桌面安全性。

理论上说如果用户不主动将必要的身份验证信息分享给其他人的话,其他人或攻击者自然无法操作远程会话。

不过有研究人员发现微软在 Windows 10 Version 1903 里调整身份验证的流程并且可能让攻击者远程控制。

微软警告称RDS远程桌面服务存在的高危漏洞和WannaCry一样糟糕

具体情况大概是这个样子:

在旧版本里开启网络级别的身份验证后用户可以成功连接远程会话,但连接后要在登录界面输入被控端密码。

如果没有被控端的用户名和密码自然也无法登录,相对来说这种安全性更好因为不小心泄露远程密码也没事。

而在 Windows 10 Version 1903 版里用户初次连接远程会话后,身份验证系统会将登录凭据缓存到主机上。

用户如果断开连接那么可以重新连接远程桌面会话并立即自动登录,不需要用户输入被控端的用户名和密码。

更糟糕的是研究人员还发现新版本的网络级别身份验证甚至可以绕过多因素认证系统进而直接登录被控设备。

微软表示这是新功能不是漏洞:

此问题被通报给微软后该公司表示这并不是漏洞而是新功能,这项功能旨在简化用户操作流程提高用户体验。

用户初次连接时需要提供账号和密码,如果已开启多因素身份验证则同时还需要输入对应的验证码才可连接。

此后登录凭据被缓存后即可直接使用,由于此前步骤已经确定用户身份因此也不需要再次验证多因素验证码。

基于此微软至少暂时不会发布任何安全更新对此进行修复,或许评估后也不会改进这个问题毕竟这是新功能。

最后研究人员提到的这个问题还发现 Windows 10 Version 1903 的新功能,毕竟微软并没有对此有过介绍。

当然我们也希望微软在调整涉及安全类问题的策略时能够提前发布通告,然后由用户自己选择使用哪种方式。

本文来源 蓝点网,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
1
哇哦恭喜您已成功屏蔽了蓝点网的小广告
   
百度网盘不限速下载器PanDownload v2.1.0版发布 满速下载网盘文件你家的宽带可能已经支持IPv6协议要不要设置试试看如何禁止系统自动更新到Windows 10 Version 1809版[视频]生命在于折腾系列 虚拟机里玩谷歌原生版安卓系统

评论:

2 条评论,访客:2 条,站长:0 条
  1. fudashuai
    fudashuai发布于: 
    Maxthon 5.2.7.2000 Maxthon 5.2.7.2000 Windows 10 64位版 Windows 10 64位版

    “公说公有理婆说婆有理······”

发表评论