Bug w Windows Remote Desktop Protocol pozwala użytkownikom logować się za pomocą haseł, które zostały już unieważnione. Brzmi jak poważna luka, prawda? Być może, ale Microsoft właśnie oświadczył, że błąd w jednej z kluczowych usług Windows nie zostanie naprawiony. Przerażające? Podobno się nie opłaca.
Windows Remote Desktop Protocol (RDP) akceptuje unieważnione hasła
Microsoft oficjalnie przyznał, że nie zamierza naprawić poważnej luki w zabezpieczeniach protokołu Remote Desktop Protocol (RDP) w systemie Windows. Chociaż problem został ponownie ujawniony przez niezależnych badaczy, firma uznała, że modyfikacja usługi naruszyłaby zgodność z innymi aplikacjami. Dlaczego? Podobno wpłynęłoby to niekorzystnie na funkcje systemowe.
Protokół RDP, wcześniej znany jako Terminal Services, istnieje w systemach Microsoftu od czasów Windows NT 4.0. Od edycji Windows XP klient zdalnego pulpitu jest wbudowany w każdą profesjonalną i serwerową wersję systemu operacyjnego. Okazuje się jednak, że nawet jeśli hasło użytkownika zostało zmienione lub wycofane, wcześniejsze dane uwierzytelniające mogą wciąż umożliwiać zdalny dostęp.
Daniel Wade, analityk ds. bezpieczeństwa, poinformował Microsoft o luce na początku miesiąca. Jego zdaniem zachowanie systemu narusza podstawowe zasady bezpieczeństwa operacyjnego. „Użytkownicy zakładają, że zmiana hasła zablokuje nieautoryzowany dostęp. W przypadku RDP to założenie jest błędne” – ostrzega Wade.
Problem polega na tym, że system Windows przechowuje wcześniej zatwierdzone hasła lokalnie, w zaszyfrowanym miejscu na dysku. Jak wykazano, nawet nowe urządzenie może wykorzystać takie dane do uzyskania dostępu do innych komputerów w sieci. Jest to możliwe, jeśli wcześniej zalogowano się tymi samymi danymi.
Microsoft: usługa działa tak, jak należy
Microsoft nie zaprzecza istnieniu tego mechanizmu. Firma potwierdziła, że jest to świadoma decyzja projektowa. Ma ona zapewnić możliwość logowania się przynajmniej jednego konta użytkownika, nawet po długiej przerwie w dostępie do sieci. Z tego powodu nie przewiduje się żadnej aktualizacji, która wyeliminowałaby tę funkcjonalność.
Rzecznik Microsoftu nie przekazał użytkownikom informacji o możliwości dezaktywacji tej funkcji ani sposobach sprawdzenia, czy ich urządzenia są narażone. Co więcej, platformy takie jak Azure, Entra ID czy Microsoft Defender nie informują użytkowników, że system nadal akceptuje stare hasła. Tak jest nawet po wprowadzeniu nowych.
Microsoft odrzucił zgłoszenie luki, którą badacze opisali już w sierpniu 2023 roku, uznając je za niekwalifikujące się do programu nagród za wykrycie błędów. Inżynierowie firmy podobno porzucili próby naprawy. Obawiają się, że zmiany mogłyby spowodować awarie aplikacji zależnych od obecnego działania RDP.
Źródło: Ars Technica