Sécurité RDP : Interception d'authentification sur NLA avec CredSSPy — Geoffrey Bertoli, Thomas Bourguenolle
Date : 03 June 2020 à 17:15 — 15 min.
RDP est un protocole d'administration à distance, sa prédominance dans les environnements Windows en fait une cible de choix pour les attaquants. RDP en est actuellement à la version 10.5 et supporte diverses mesures de sécurité pour se protéger notamment des attaques de type "man in the middle" notamment via la mise en place d'un nouveau système d'authentification client nommé NLA.
Les auteurs ont souhaité étudier les possibilités de réalisation de telles attaques, notamment dans le cadre d'une connexion réalisée avec le mécanisme NLA. La suite du document présente une analyse du niveau de sécurité réellement apporté par NLA et un outil ayant été développé pour mettre en place des scénarios d'attaque de type "man in the middle" sur des connexions NLA.