公開日:2019/06/05 最終更新日:2019/06/06

JVNVU#94741708
Microsoft Windows リモートデスクトップのネットワークレベル認証に Windows ロックスクリーンをバイパスされる問題

概要

Microsoft Windows リモートデスクトップのネットワークレベル認証には、Windows ロックスクリーンをバイパスされる問題が存在します。

影響を受けるシステム

  • Windows 10 1803 およびそれ以降
  • Windows Server 2019 およびそれ以降

詳細情報

Microsoft のリモートデスクトップでは、接続時の認証を RDP レイヤではなくネットワークレイヤで行う、ネットワークレベル認証 (NLA, Network Level Authentication) という機能をサポートしています。
また、Windows ではユーザセッションがロックされると、認証情報の入力を要求するロックスクリーンが表示され、適切な認証情報を入力しないとセッションを継続できない仕組みになっています。RDP 経由のセッションにおいてもセッションロックの仕組みは ローカルセッションと同様です。

CWE-288: Authentication Bypass Using an Alternate Path or Channel (CVE-2019-9510)

2018年4月にリリースされた Windows 10 1803 および Windows Server 2019 では、NLA を使用した RDP セッションの扱い方に変更があり、セッションロックの際に意図しない動作が発生するようになりました。ネットワークの異常により RDP 接続が一時的に切断され、自動的に再接続が行われると、リモートシステムがどの様な状態であったかに関わらず、RDP セッションはロックが解除された状態で復元されてしまいます。
例えば、次のような状況を考えます:

1. ユーザが Windows 10 1803 もしくは Windows Server 2019 およびそれ以降のシステムにリモートデスクトップ接続する
2. ユーザがリモートデスクトップのセッションをロックする
3. リモートデスクトップ接続に使用しているクライアントをそのまま放置する

この状況において、攻撃者は RDP クライアントのネットワーク接続を一時的に切断します。RDP クライアントは、ネットワーク接続が復旧すると自動的にリモートシステムへの再接続を行い、復元された RDP セッションは、ログインスクリーンではなくログイン済みのデスクトップ画面になります。ログイン時のバナー表示もバイパスされます。
これはすなわち、手動で認証情報を入力しなくてもロックを解除できるということを意味します。 Duo Security MFA のような、Windows ログインスクリーンと統合された 2 要素認証システムも、この挙動を使用することでバイパス可能です。CERT/CC では、Windows ログインスクリーンを使用する、他の多要素認証ソリューションも本脆弱性の影響を受ける可能性があると考えています。
なお、本件の原因は RDP 使用時の Windows ロックスクリーンの動作にあり、多要素認証ソリューションがインストールされているかどうかには無関係です。

想定される影響

Windows RDP クライアントに物理的にアクセス可能な攻撃者によって、リモートデスクトップセッションを使用される可能性があります。

対策方法

2019年6月5日現在、対策方法は不明です。次のワークアラウンドの実施を検討してください。

  • RDP クライアントシステムへのアクセスを保護する

RDP クライアントとして使用しているシステムの場合、リモートシステムではなくローカルのシステムをロックしてください。例えローカルシステムに Value値が全く存在しなくとも、RDP のセッションはクライアントシステムへのアクセスを制限することで保護可能です。リモートシステムのロックでは保護できません。
  • RDP セッションの接続を切断する

リモートの RDP セッションのロックでは保護が行えないため、RDP セッションの接続を切断することが有効です。セッションが無効化され、クレデンシャルを使用しない RDP セッションの自動再接続を防止することが可能です。

ベンダ情報

ベンダ ステータス ステータス
最終更新日		 ベンダの告知ページ
日本マイクロソフト株式会社 該当製品あり 2019/06/05

参考情報

  1. CERT/CC Vulnerability Note VU#576688
    Microsoft Windows RDP Network Level Authentication can bypass the Windows lock screen
  2. Microsoft
    Configure Network Level Authentication for Remote Desktop Services Connections
  3. Microsoft
    Prevent a worm by updating Remote Desktop Services (CVE-2019-0708)

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

CVSS v3 CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
基本値: 4.3
攻撃元区分(AV) 物理 (P) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 低 (L)
必要な特権レベル(PR) 高 (H) 低 (L) 不要 (N)
ユーザ関与レベル(UI) 要 (R) 不要 (N)
スコープ(S) 変更なし (U) 変更あり (C)
機密性への影響(C) なし (N) 低 (L) 高 (H)
完全性への影響(I) なし (N) 低 (L) 高 (H)
可用性への影響(A) なし (N) 低 (L) 高 (H)
CVSS v2 AV:L/AC:L/Au:N/C:P/I:P/A:P
基本値: 4.6
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N)
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L)
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N)
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C)
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C)
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C)

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory
CPNI Advisory
TRnotes
CVE CVE-2019-9510
JVN iPedia

更新履歴

2019/06/06
日本マイクロソフト株式会社のベンダステータスが更新されました