Windows Uzak Masaüstü Hizmetine ait olan (RDS) Ağ Düzeyi Kimlik Doğrulama (NLA) özelliğinin, bir saldırganın uzaktan oturum açma işlemi gerçekleştirdiği esnada windows kilit ekranını bypass edebilmesine imkan sağladığı ortaya çıktı. Bu konu ile ilgili şu ana kadar Microsoft’tan herhangi bir resmi duyuru yapılmadı ve yama yayınlanmadı. Carnegie Mellon Üniversitesi CERT Koordinasyon Merkezi ise bu ByPass tekniği ile ilgili salı günü bir uyarı yayımladı.
NLA servisi, bir oturum oluşturulmadan önce kullanıcının Uzak Masaüstü Bilgisayarı üzerinde kimliğini doğrulamasını isteyerek Uzak Masaüstü (RD) oturumları için daha iyi bir koruma mekanizması sağlamaktadır. Microsoft kısa süre önce NLA’yı BlueKeep ve CVE-2019-0708 olarak bilinen kritik RDS güvenlik açığı için geçici bir çözüm olarak önermişti.
Bir kullanıcı uzak bir sisteme RDS üzerinden bağlandığında eğer Oturum kilitliyse, kullanıcıya oturumu kullanmaya devam etmek için kimliğini doğrulamak zorunda olduğu bir kilit ekranı sunulur.
Carnegie Mellon Üniversitesi Yazılım Mühendisliği Enstitüsü’nden Joe Tammariello, bir RDS oturumunda kilit ekranını atlamak için kullanılabilecek bir güvenlik açığı keşfetti. CVE-2019-9510 olarak duyurulan ve 4.6 CVSS puanı atanan zafiyet, Windows 10 işletim sistemi ve Windows Server 2019 ile başlayan Windows sürümlerini etkilemektedir.
Herhangi bir şekilde bir ağ anomalisi RDP bağlantısının kesilmesini sağlarsa, otomatik yeniden bağlanmanın ardından RDP oturumu, uzaktaki sistemin nasıl bırakıldığına bakılmaksızın oturum açma ekranını atlatmaktadır.