แจ้งเตือนปัญหาใน Remote Desktop Web Access ใช้เดา Username ได้ ไมโครซอฟต์ไม่แก้ไขแพตช์เพราะไม่ใช่ช่องโหว่

นักวิจัยด้านความปลอดภัย Matt Dunn จาก Raxis ได้เปิดเผยปัญหา Timing attack ใน Remote Desktop (RD) Web Access ของไมโครซอฟต์ซึ่งเป็นเว็บแอปสำหรับฟีเจอร์ Remote desktop ปัญหาดังกล่าวถูกเรียกว่า Timing attack ที่ส่งผลให้ผู้โจมตีสามารถคาดเดาชื่อบัญชีผู้ใช้งานได้

ปัญหาดังกล่าวนั้นเกิดขึ้นในขั้นตอนของการพิสูจน์ตัวตน หากมีการพยายามพิสูจน์ตัวตนด้วยบัญชีผู้ใช้งานที่ไม่มีอยู่จริง ระบบเบื้องหลังของ RD Web Access จะใช้เวลาประมวลผลประมาณ 4000 มิลลิวินาที ในขณะเดียวกันหากมีการใช้ชื่อบัญชีที่มีอยู่จริงแต่รหัสผ่านผิด ระบบเบื้องหลังจะตอบกลับมาโดยใช้เวลาเพียงแค่ประมาณ 232 มิลลิวินาทีเท่านั้น อัตราส่วนความแตกต่างของเวลาในการตอบกลับทำให้ผู้โจมตีสามารถใช้ปัจจัยดังกล่าวในการระบุหาชื่อบัญชีผู้ใช้งานได้ หากผู้โจมตีทราบชื่อของโดเมน Active Directory

ปัญหานี้เกิดขึ้นกับ Windows Server 2016 และ 2019 และมีการพัฒนาโมดูลของ Metasploit ขึ้นมาเพื่อใช้โจมตีแล้วที่ตำแหน่ง auxiliary/scanner/http/rdp_web_login

Raxis ได้มีการรายงานปัญหาดังกล่าวไปยังไมโครซอฟต์ อย่างไรก็ตามอ้างอิงจากไทม์ไลน์การแจ้งช่องโหว่ Microsoft ปฏิเสธที่จะสนับสนุนและแก้ไขปัญหาด้านความปลอดภัยนี้

เราขอแนะนำให้ผู้ดูแลระบบตั้งค่าการเข้าถึง RD Web Access ผ่าน VPN เพื่อให้สามารถควบคุมการเข้าถึงได้, เปิดใช้ ISA หรือเซอร์วิส Microsoft Federation และบังคับให้ RD Web Access ต้องวิ่งผ่านเพื่อลดผลกระทบจากการโจมตี รวมไปถึงเปิดใช้ Multi factor authentication ด้วย

ที่มาFebruary: raxis