安全研究人員稱，Windows 1903更新中存在的網絡身份驗證（NLA）bug，可被攻擊者利用來控制遠程會話。據悉，NLA旨在防止攻擊者遠程登錄到用戶的Windows PC 。它會要求登錄者提供必要的詳情，以便進行身份驗證。原本攻擊者不應該知曉這些細節，除非你與外界進行了分享。

（截圖via MSPU）

問題在於，在最新的Windows 10 1903（2019五月更新）中，NLA的工作原理髮生了變化。NakedSecurity指出：

新版身份驗證機制將客戶端的登錄憑證緩存在了RDP 主機上，以便在客戶端失去連接時再次快速登錄，這項變動使得攻擊者能夠繞過Windows 鎖屏。

對於此事，NakedSecurity已經向計算機應急響應小組（CERT / CC）發出了警告，後者已經在一份安全公告（VU# 576688）中給出了詳細的介紹。

受此影響，重新連接的RDP 會話將還原到登錄後的界面、而不是留在登錄屏幕上，意味著無需手動輸入任何憑據、即可完成遠程系統解鎖。

（圖自：CERT）

更糟糕的是，這個漏洞讓攻擊者可以繞過多因素身份驗證（MFA）系統，而微軟卻將它視為一項特殊的RDP功能。該公司回應道：

經過調查，我們認為此事符合微軟的Windows 安全服務標準，本例提到的是Windows Server 2019 中支持的網絡級身份驗證（NLA）。

NLA 會在連接的早期索取用戶信息，並在用戶進入會話（或重新連接）時使用相同的身份憑據。

只要已連接，客戶端就會緩存該憑據，並在需要自動重新連接時調用（因此能夠繞過NLA）。

CERT指出：鑑於微軟僅承認這是一項特色功能、而不是一個bug，意味著它不會很快提供任何修復。建議用戶盡量使用本地機器的鎖屏機制（而不是遠程桌面連接）。