Una grave vulnerabilidad de seguridad ha sido identificada en el Protocolo de Escritorio Remoto (RDP) de Windows, revelando que el sistema continúa aceptando credenciales obsoletas incluso después de cambiar las contraseñas en cuentas de Microsoft o Azure. Esta brecha de seguridad podría permitir accesos no autorizados a sistemas comprometidos, incluso después de implementar medidas correctivas.
Análisis técnico de la vulnerabilidad
El investigador de seguridad Daniel Wade ha documentado cómo el mecanismo de caché de credenciales de RDP mantiene copias locales cifradas de las credenciales tras el primer inicio de sesión. Las posteriores autenticaciones se validan contra esta caché local, ignorando cualquier actualización realizada en las credenciales de la cuenta en la nube, comprometiendo así los protocolos de seguridad establecidos.
Implicaciones para la seguridad empresarial
Esta vulnerabilidad representa un riesgo significativo para las organizaciones, especialmente en escenarios de compromiso de credenciales. Los atacantes podrían mantener acceso persistente a los sistemas afectados a través de RDP, eludiendo tanto la autenticación en la nube como los controles de seguridad multifactor implementados posteriormente.
Respuesta oficial y controversia
Microsoft ha confirmado que este comportamiento es una característica de diseño intencional para facilitar el acceso offline. La compañía, conocedora del problema desde hace aproximadamente dos años, ha decidido mantener esta funcionalidad, argumentando posibles problemas de compatibilidad con aplicaciones existentes.
Medidas de mitigación recomendadas
Los expertos en ciberseguridad, incluyendo al reconocido Will Dormann, recomiendan configurar RDP para utilizar exclusivamente cuentas locales, deshabilitando la autenticación mediante credenciales de Microsoft y Azure. Esta medida previene los riesgos asociados al almacenamiento en caché de contraseñas en la nube.
La situación actual enfatiza la necesidad de implementar estrategias de seguridad multicapa para el acceso remoto. Las organizaciones deben realizar auditorías regulares de sus políticas de acceso, implementar soluciones adicionales de monitorización y mantener una vigilancia constante sobre las actualizaciones de seguridad proporcionadas por Microsoft. La adopción de estas medidas preventivas resulta crucial para mantener la integridad de los sistemas corporativos en un entorno de amenazas cada vez más sofisticado.
