Nu este o eroare, ci o caracteristică, a confirmat Microsoft cercetătorilor în cauză
WTF?! Protocolul proprietar dezvoltat de Microsoft pentru a facilita conexiunile la distanță la mașinile Windows conține un defect de securitate excepțional. Cu toate acestea, Microsoft a declarat că nu are de gând să rezolve problema, deoarece acest lucru ar rupe compatibilitatea cu multe aplicații.
Cercetătorii independenți au descoperit sau ar trebui să spunem redescoperite, o vulnerabilitate majoră de securitate în Protocolul de desktop la distanță al Microsoft (RDP). Cunoscut anterior ca Terminal Services, RDP pare să fie proiectat pentru a valida întotdeauna o parolă folosită anterior pentru conexiunile la distanță la o mașină Windows, chiar și atunci când acea parolă a fost revocată de un administrator de sistem sau compromisă într -o încălcare a securității.
Tehnologia RDP datează din ERA Windows NT 4.0, un sistem de operare timpuriu pe 32 de biți lansat în 1998. De la Windows XP, fiecare versiune profesională sau server a Windows a inclus un client RDP, cunoscut oficial ca conexiune desktop la distanță. Aceasta înseamnă că, potrivit cercetătorilor, fiecare versiune a Windows din zilele modemurilor analogice de 56 kbps este afectată de această vulnerabilitate descoperită nou (RE).
Analistul Daniel Wade a raportat problema la Microsoft la începutul acestei luni. Defectele încalcă practicile de securitate operațională recunoscută universal (OPSEC) – și apoi unele. Când o parolă este modificată, aceasta nu mai ar trebui să ofere acces la un sistem de la distanță. „Oamenii au încredere că schimbarea parolei va reduce accesul neautorizat”, a spus Wade.
Cercetătorii au descoperit că RDP continuă să accepte parole care au fost utilizate o dată și sunt acum în cache pe o mașină locală. Windows stochează parolele validate într-o locație sigură criptografică pe disc și chiar mașini noi pot utiliza vechea parolă pentru a accesa alte sisteme.
Platformele de gestionare online și de securitate Microsoft – inclusiv ID -ul Entra, Azure și Defender – nu ridică nicio alarmă, iar parolele mai noi pot fi ignorate în timp ce cele mai vechi funcționează încă.
Mai mult, Microsoft a furnizat puține informații utilizatorilor finali despre acest comportament remarcabil al protocolului RDP. Cercetătorii au ajuns la concluzia că milioane de utilizatori – fie acasă, în medii SOHO sau în configurații întreprinderilor – sunt expuși riscului. Când i s -a cerut să abordeze problema, Microsoft a confirmat că tehnologia RDP funcționează așa cum este prevăzut.
Potrivit Microsoft, comportamentul este o decizie de proiectare menită să „se asigure că cel puțin un cont de utilizator are întotdeauna capacitatea de a se conecta indiferent cât timp a fost offline un sistem”.
Compania a fost deja avertizată despre această spate de către alți cercetători în august 2023, făcând noua analiză neeligibilă pentru un premiu Bounty. Se pare că inginerii Redmond au încercat să modifice codul pentru a elimina din spate, dar au abandonat efortul, deoarece modificările ar putea rupe compatibilitatea cu o caracteristică Windows pe care multe aplicații încă se bazează.
