Способ обойти экран блокировки Windows на сеансах RDP

[razielvamp]

На mac OS найдена огромная уязвимость! Оказывается в систему можно войти без пароля! Вы ждете пока жертва залогинится и выйдет в туалет, потом садитесь с рабочий стол жертвы и о ужас! ОС не понимает чюжеродного вмешательства и не спрашивает у вас пароль!

[wxmaper]

И… Закрытие этой уязвимости приведёт к падению производительности устройств на 40%!

[razielvamp]

И необходимости в конце рабочего дня чистить за собой стул.

[JKot]

Надо всего лишь докупить AppleWatch и вы будете защищены от этой уязвимости :)

[razielvamp]

О! А это хорошая идея для статьи "Для закрытия критических уязвимостей в ОС Apple требует от пользователей покупки новых девайсов"

[Sergey-S-Kovalev]

Если учесть, что подавляющее большинство людей сохраняют параметры подключения по RDP в Диспетчере учетных данных Windows, то критичность данной проблемы надумана чуть более чем полностью.

[RicoScrewdriver]

Тут больше применимо для обхода всяких там двухфакторных методов типа Duo Security.

[Sergey-S-Kovalev]

Вот читаешь, вроде страшно, ибо двухфакторка получается уязвима. Но стоит чуть чуть подумать — двухфакторку используют не для того, что бы оставлять систему не залоченной, когда от нее отходят. Двухфакторка административно обязывает, отрывая задницу от стула, блокировать систему. В итоге опять приходим к тому, что критичность данной проблемы надумана чуть более чем полностью.

[RicoScrewdriver]

Ну… Кейсов есть немного. Например, когда RDP на фулскрин развернут. Ты локнул его и пошел себе. Или у тебя куча рдп к разным сервакам и они автолочатся по идл тайму (хотя странный кейс, лучше по идл обрывать Коннект и закрывать сессию). Ну и вообще, культура лочить комп и двухфакторка, как по мне, не очень коррелирующие события. Даже наоборот, не буду лочить, а то потом долго логиниться.

[Sergey-S-Kovalev]

Win+L — глобальная комбинация и относится к консоли пользователя. В RDP не транслируется.

Культура лочить сеанс появляется не из-за строгости Сбшников, а из-за привычки коллег шутить, меняя десктопные картинки на с двумя парнями с надписью «Мы поражены твоим расп#здяйством».

Так что кейсов ничтожно мало, а требование физического доступа к оборудованию, плюс время на захват системы там внутри RDP подключения делают эту «атаку» мягко говоря турднореализуемой, и почти наверняка с 100% определением виновного.

[2PAE]

Ой да лдно, в любом фильме про хакеров, это покажут.
Пока юзверь растяпа ходит в туалет, злобный хакер вылезет из под натяжного потолка, войдёт на удаленный сервер и скачает все секреты.
И конечно когда юзверь растяпа вернётся, хакер будет прятаться под столом и только чудом спасётся от обнаружения.

[Sergey-S-Kovalev]

Проще устроиться админом на 15к рублей и брать работы побольше, за всех работать, все коллеги будут на тебя работу скидывать радостно. Так добираешься до нужного сервера и сливаешь инфу. А потом такой, ой, мне тут на 16к работу предложили, все поцаны, я в другую контору. Никто даже не поймет.

[DMGarikk]

Пока юзверь растяпа ходит в туалет, злобный хакер вылезет из под натяжного потолка, войдёт на удаленный сервер и скачает все секреты.

Ну, если уж серьезно говорить, «хакером» — могут быть вполне ваши коллеги по работе.
Очень наивно предполагать что все сотрудники фирмы априори неподкупны только потому что они договор подписали о секретных данных

Именно по этому нельзя давать свои учетки и пароли другим людям, нельзя пускать коллег по одному пропуску в помещение и т.п. Эти правила прридуманы отнюдь не из-за соображений — помучить персонал

[Mur81]

Точно? Я не помню что-то такой настройки. Да и откуда сервер должен знать сохранённый это пароль или введённый вручную?
Но вот на стороне клиента сохранение паролей RDP можно (и нужно) отключить через групповую политику. Через доменную, если машина в домене, или локальную, если не в домене (gpedit.msc).

[HiroX]

Можно с сервера запретить сохраненный пароль.
В политиках узел сеансов -> безопасность -> всегда запрашивать пароль при подключении -> включить

[Mur81]

Да, действительно, спасибо. В гуе эта галочка так же есть, другое дело что без описания не очень понятно что она значит (в описании политики конечно всё расписано подробнее).

[Mur81]

Похоже на то. Соответственно это и будет иметь влияние только на виндовые клиенты. Оно и понятно, если мы возьмём тот же freerdp под Linux, то там и понятия такого нет как «сохранённый пароль». А Remmina хоть и умеет сохранять учётные данные, но вряд ли будет сообщать об этом серверу.

[black_semargl]

Сервер и не знает — он просто запрашивает пароль в уже открытом RDP-окне. Своим стандартным логоном, не предусматривающим сохранение.
А клиент достаточно умный, чтобы не запрашивать пароль который всё равно не примут.

[SergeyMax]

Всё больше и больше уязвимостей требуют прав администратора.

[aleksandros]

Имхо какая-то «детская» проблема. В том смысле, что обнаруживается на раз-два и всё равно не исправлена.

[SergeyMax]

Проблема в том, что это не совсем проблема. RDP-клиент может переподключиться к машине, даже если она была целиком перезагружена.

[mkovalevskyi]

А вот для автоматизации — пригодится ;)

[SwifTKZ]

Чаще всего пользователи RDP не имеют никаких прав, кроме открытия одной программы

[RicoScrewdriver]

Но чаще всего это программа содержит критически важные данные.