Специалисты по информационной безопасности выявили серьезную проблему в работе протокола удаленного рабочего стола (RDP) Windows. Даже после смены пароля учетной записи Microsoft или Azure система продолжает принимать старые учетные данные для удаленного доступа, что создает потенциальные риски безопасности.
Механизм работы уязвимости
Независимый исследователь безопасности Дэниел Уэйд обнаружил, что RDP продолжает принимать отозванные пароли из-за особенностей механизма кеширования учетных данных. При первом входе через RDP система сохраняет зашифрованную копию учетных данных локально. Последующие попытки входа проверяются против этой локальной копии, игнорируя изменения пароля в облачной учетной записи.
Последствия для безопасности
Данная особенность создает серьезные риски безопасности, особенно в случае компрометации учетных записей. Даже после смены скомпрометированного пароля злоумышленники сохраняют возможность удаленного доступа к системам через RDP, обходя облачную аутентификацию и механизмы многофакторной защиты.
Позиция Microsoft
Представители Microsoft заявили, что данное поведение является намеренным проектным решением, обеспечивающим доступ к системе в автономном режиме. Компания подтвердила, что знает о проблеме около двух лет, но не планирует вносить изменения, опасаясь нарушения совместимости с существующими приложениями.
Рекомендации по защите
Эксперты по безопасности, включая специалиста Уилла Дорманна, рекомендуют администраторам настроить RDP на использование только локальных учетных записей, отключив возможность входа через учетные данные Microsoft и Azure. Это позволит избежать рисков, связанных с кешированием облачных паролей.
Данная ситуация подчеркивает важность комплексного подхода к безопасности удаленного доступа. Организациям следует регулярно проводить аудит политик доступа, использовать дополнительные средства защиты и внимательно следить за обновлениями документации по безопасности от Microsoft.
