Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
07/06/2019
Esta afirmación por parte de Microsoft, que se puede ver en el reporte oficial de la vulnerabilidad en el CERT/CC, ha causado controversia ya que la vulnerabilidad, de la que ya informamos en CSIRT-CV, permite evadir el bloqueo de sesión al reconectar a una sesión previamente establecida.
La vulnerabilidad reside en el componente de autenticación a nivel de red (Network Level Authentication, NLA), que es el encargado de autentificar las conexiones que se realizan a través de Escritorio Remoto, requiriendo a los usuarios que introduzcan sus credenciales primero. Este componente ha sufrido un cambio en la última actualización de Windows 10 y Windows Server 2019, de forma que se cachean las credenciales del usuario, lo que permite retomar una sesión previamente establecida sin necesidad de volver a introducir las credenciales.
Microsoft indica que, tras investigar el escenario, el comportamiento descrito no cumple los criterios para ser considerado una vulnerabilidad, y lo que ocurre, siempre según Microsoft, es que "mientras el usuario esté conectado, el cliente cacheará las credenciales utilizadas para conectar y las reutilizará cuando necesite reconectar automáticamente, evitando así NLA".