Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
07/06/2019
La última vulnerabilidad de Windows es una "funcionalidad"
Así lo atestigua un comunicado de Microsoft, en el que explica que esa funcionalidad es la esperada.
Esta afirmación por parte de Microsoft, que se puede ver en el reporte oficial de la vulnerabilidad en el CERT/CC, ha causado controversia ya que la vulnerabilidad, de la que ya informamos en CSIRT-CV, permite evadir el bloqueo de sesión al reconectar a una sesión previamente establecida.
La vulnerabilidad reside en el componente de autenticación a nivel de red (Network Level Authentication, NLA), que es el encargado de autentificar las conexiones que se realizan a través de Escritorio Remoto, requiriendo a los usuarios que introduzcan sus credenciales primero. Este componente ha sufrido un cambio en la última actualización de Windows 10 y Windows Server 2019, de forma que se cachean las credenciales del usuario, lo que permite retomar una sesión previamente establecida sin necesidad de volver a introducir las credenciales.
Microsoft indica que, tras investigar el escenario, el comportamiento descrito no cumple los criterios para ser considerado una vulnerabilidad, y lo que ocurre, siempre según Microsoft, es que "mientras el usuario esté conectado, el cliente cacheará las credenciales utilizadas para conectar y las reutilizará cuando necesite reconectar automáticamente, evitando así NLA".