Дослідники виявили, що протокол RDP (Remote Desktop Protocol) у Windows дає змогу використовувати вже відкликані паролі для входу в систему. У відповідь на це представники Microsoft повідомили, що така поведінка не є вразливістю, у компанії не планують що-небудь змінювати.

Хоча зміна пароля – один із перших кроків, які слід зробити в разі витоку пароля або злому облікового запису, у випадку з RDP все може бути не так просто.

Як повідомляє видання ArsTechnica, незалежний ІБ-дослідник Деніел Вейд (Daniel Wade) виявив, що в багатьох випадках RDP продовжуватиме довіряти паролю навіть після того, як користувач його змінив. Експерт повідомив про проблему представників Microsoft і склав покрокову інструкцію для відтворення такої поведінки.

Вейд наголошує, що це суперечить усім загальноприйнятим уявленням про те, що після зміни пароля той більше не може надавати доступ до пристроїв і облікових записів, пов’язаних із ним.

“Це не просто помилка. Це повний підрив довіри, – пише експерт у своєму звіті. – Люди вірять, що зміна пароля відсіче несанкціонований доступ. Це перше, що робить людина, яка запідозрила компрометацію. І все ж:

-старі облікові дані продовжують працювати в RDP навіть з абсолютно нових машин;
-Defender, Entra ID і Azure не відображають жодних попереджень;
-у кінцевих користувачів немає жодного способу для виявлення й усунення проблеми;
-немає документації або керівництв Microsoft, які безпосередньо розглядали б подібні сценарії;
-навіть новіші паролі можуть ігноруватися, тоді як старі продовжують працювати.
Результат? Мільйони користувачів (вдома, на малих підприємствах або в гібридних середовищах) неусвідомлено наражаються на ризик”.

Як повідомив виданню відомий ІБ-експерт Вілл Дорманн (Will Dormann), більшість адміністраторів можуть просто не помітити це оновлення. До того ж Microsoft не вказує, які дії слід вжити для блокування RDP у разі злому облікового запису Microsoft або Azure. За словами фахівця, єдиним варіантом є налаштування RDP на аутентифікацію тільки за обліковими даними, які зберігаються локально.

“З точки зору безпеки це просто безглуздя, – каже Дорманн. – Якби я був системним адміністратором, я б очікував, що щойно я зміню пароль для облікового запису, старі облікові дані для нього більше не можна буде використовувати ніде. Однак це не так”.