Ez nem egy hiba, hanem egy szolgáltatás, a Microsoft megerősítette az érintett kutatóknak
WTF?! A Microsoft által kifejlesztett szabadalmaztatott protokoll a Windows Machines távoli kapcsolatok megkönnyítése érdekében kiemelkedő biztonsági hibát tartalmaz. A Microsoft azonban kijelentette, hogy nem tervezi a problémát megoldani, mivel ez megszakítja a kompatibilitást sok alkalmazással.
A független kutatók felfedezték, vagy azt kell mondanunk, hogy újból felfedezzük a Microsoft Remote Desktop Protocol (RDP) fő biztonsági rést. A korábban terminálszolgáltatások néven ismert RDP úgy tűnik, hogy mindig egy korábban használt jelszót validálódik a Windows géphez való távoli csatlakozásokhoz, még akkor is, ha ezt a jelszót egy rendszergazda visszavonta vagy veszélyezteti a biztonsági megsértés során.
Az RDP technológia a Windows NT 4.0 ERA-hoz nyúlik vissza, egy korai 32 bites operációs rendszer, amelyet 1998-ban adtak ki. Mivel a Windows XP, a Windows minden professzionális vagy szerver verziója tartalmazott egy RDP klienst, hivatalosan távoli asztali kapcsolat néven. Ez azt jelenti, hogy a kutatók szerint a Windows minden verziója, mivel az analóg 56 KBPS modem napjaiban van, ez az újonnan (RE) felfedezett sebezhetőség befolyásolja.
Daniel Wade elemző a hónap elején jelentette be a Microsoftnak a kérdést. A hiba megsérti az általánosan elismert operatív biztonsági (OPSEC) gyakorlatokat – majd néhányat. Amikor egy jelszó megváltozik, akkor nem szabad hozzáférést biztosítani a távoli rendszerhez. „Az emberek bíznak abban, hogy a jelszó megváltoztatása megszakítja az illetéktelen hozzáférést” – mondta Wade.
A kutatók azt találták, hogy az RDP továbbra is elfogadja az egyszer használt jelszavakat, és most egy helyi gépen tárolják őket. A Windows a validált jelszavakat kriptográfiailag biztonságos helyen tárolja a lemezen, sőt még vadonatúj gépek is felhasználhatják a régi jelszót más rendszerek eléréséhez.
A Microsoft online menedzsment és biztonsági platformjai – beleértve az Entra ID -t, az Azure -t és a Defender -t – nem emelnek riasztást, és az újabb jelszavakat figyelmen kívül hagyhatjuk, miközben az idősebbek továbbra is működnek.
Ezenkívül a Microsoft kevés információt szolgáltatott a végfelhasználók számára az RDP protokoll figyelemre méltó viselkedéséről. A kutatók arra a következtetésre jutottak, hogy a felhasználók milliói – akár otthon, Soho környezetben vagy vállalati beállításokban – veszélyben vannak. Amikor felkérték a kérdés kezelésére, a Microsoft megerősítette, hogy az RDP technológia a tervezettnek megfelelően működik.
A Microsoft szerint a viselkedés olyan tervezési döntés, amelynek célja „annak biztosítása, hogy legalább egy felhasználói fiók mindig képes bejelentkezni, függetlenül attól, hogy a rendszer mennyi ideig volt offline állapotban”.
A társaságot más kutatók már 2023 augusztusában figyelmeztették erre a hátsó ajtóra, így az új elemzés nem támogatható a Bounty díjra. A Redmond Engineers állítólag megpróbálta módosítani a kódot a hátsó ajtó kiküszöbölése érdekében, de elhagyta az erőfeszítéseket, mivel a változások megszakíthatják a kompatibilitást egy Windows funkcióval, amelyre sok alkalmazás továbbra is támaszkodik.