【活用ガイド】

JVNDB-2019-004672

Microsoft Windows リモートデスクトップのネットワークレベル認証に Windows ロックスクリーンをバイパスされる問題

概要

Microsoft Windows リモートデスクトップのネットワークレベル認証には、Windows ロックスクリーンをバイパスされる問題が存在します。

Microsoft のリモートデスクトップでは、接続時の認証を RDP レイヤではなくネットワークレイヤで行う、ネットワークレベル認証 (NLA, Network Level Authentication) という機能をサポートしています。
また、Windows ではユーザセッションがロックされると、認証情報の入力を要求するロックスクリーンが表示され、適切な認証情報を入力しないとセッションを継続できない仕組みになっています。RDP 経由のセッションにおいてもセッションロックの仕組みは ローカルセッションと同様です。

CWE-288: Authentication Bypass Using an Alternate Path or Channel (CVE-2019-9510)

2018年4月にリリースされた Windows 10 1803 および Windows Server 2019 では、NLA を使用した RDP セッションの扱い方に変更があり、セッションロックの際に意図しない動作が発生するようになりました。ネットワークの異常により RDP 接続が一時的に切断され、自動的に再接続が行われると、リモートシステムがどの様な状態であったかに関わらず、RDP セッションはロックが解除された状態で復元されてしまいます。
例えば、次のような状況を考えます:

1. ユーザが Windows 10 1803 もしくは Windows Server 2019 およびそれ以降のシステムにリモートデスクトップ接続する
2. ユーザがリモートデスクトップのセッションをロックする
3. リモートデスクトップ接続に使用しているクライアントをそのまま放置する

この状況において、攻撃者は RDP クライアントのネットワーク接続を一時的に切断します。RDP クライアントは、ネットワーク接続が復旧すると自動的にリモートシステムへの再接続を行い、復元された RDP セッションは、ログインスクリーンではなくログイン済みのデスクトップ画面になります。ログイン時のバナー表示もバイパスされます。
これはすなわち、手動で認証情報を入力しなくてもロックを解除できるということを意味します。 Duo Security MFA のような、Windows ログインスクリーンと統合された 2 要素認証システムも、この挙動を使用することでバイパス可能です。CERT/CC では、Windows ログインスクリーンを使用する、他の多要素認証ソリューションも本脆弱性の影響を受ける可能性があると考えています。
なお、本件の原因は RDP 使用時の Windows ロックスクリーンの動作にあり、多要素認証ソリューションがインストールされているかどうかには無関係です。
CVSS による深刻度 (CVSS とは?)

CVSS v3 による深刻度
基本値: 4.3 (警告) [JPCERT/CC値]
  • 攻撃元区分: 物理
  • 攻撃条件の複雑さ: 低
  • 攻撃に必要な特権レベル: 不要
  • 利用者の関与: 不要
  • 影響の想定範囲: 変更なし
  • 機密性への影響(C): 低
  • 完全性への影響(I): 低
  • 可用性への影響(A): 低
CVSS v2 による深刻度
基本値: 4.6 (警告) [JPCERT/CC値]
  • 攻撃元区分: ローカル
  • 攻撃条件の複雑さ: 低
  • 攻撃前の認証要否: 不要
  • 機密性への影響(C): 部分的
  • 完全性への影響(I): 部分的
  • 可用性への影響(A): 部分的
影響を受けるシステム


マイクロソフト
  • Microsoft Windows 10 1803 およびそれ以降
  • Microsoft Windows Server 2019 およびそれ以降

想定される影響

Windows RDP クライアントに物理的にアクセス可能な攻撃者によって、リモートデスクトップセッションを使用される可能性があります。
対策

2019年6月5日現在、対策方法は不明です。次のワークアラウンドの実施を検討してください。

* RDP クライアントシステムへのアクセスを保護する


RDP クライアントとして使用しているシステムの場合、リモートシステムではなくローカルのシステムをロックしてください。例えローカルシステムに Value値が全く存在しなくとも、RDP のセッションはクライアントシステムへのアクセスを制限することで保護可能です。リモートシステムのロックでは保護できません。

* RDP セッションの接続を切断する


リモートの RDP セッションのロックでは保護が行えないため、RDP セッションの接続を切断することが有効です。セッションが無効化され、クレデンシャルを使用しない RDP セッションの自動再接続を防止することが可能です。
ベンダ情報

マイクロソフト
CWEによる脆弱性タイプ一覧  CWEとは?

  1. 代替パスまたはチャネルを使用した認証回避(CWE-288) [その他]
共通脆弱性識別子(CVE)  CVEとは?

  1. CVE-2019-9510
参考情報

  1. JVN : JVNVU#94741708
  2. National Vulnerability Database (NVD) : CVE-2019-9510
  3. US-CERT Vulnerability Note : VU#576688
更新履歴

  • [2019年06月06日]
      掲載
  • [2019年06月07日]
      ベンダ情報:JVN (日本マイクロソフト株式会社からの情報) を追加

公表日2019/06/04
登録日2019/06/06
最終更新日2019/06/06