Windows Remote Desktop Protocol має вразливість для несанкціонованого доступу, Microsoft відмовляється виправити

Серйозний недолік в протоколі віддаленого підключення RDP: відсутність виправлення від Microsoft

Несподівано! Розроблений Microsoft пропрієтарний протокол для віддалених з’єднань з Windows містить серйозну вразливість в безпеці. Проте компанія заявила, що не має наміру виправляти цю проблему, оскільки це порушить сумісність з багатьма додатками.

Вразливість в RDP: небезпека для безпеки користувачів Windows

Незалежні дослідники виявили або, точніше, знову виявили суттєву вразливість у протоколі Remote Desktop Protocol (RDP) від Microsoft. Раніше відомий як Terminal Services, RDP виглядає так, ніби він завжди перевіряє попередньо використаний пароль для віддалених підключень до Windows, навіть коли цей пароль був скасований адміністратором системи або став жертвою зламу безпеки.

Історія RDP: з Windows NT до сучасних версій

Технологія RDP бере свій початок ще з епохи Windows NT 4.0, першої 32-розрядної операційної системи, що була випущена у 1998 році. З моменту виходу Windows XP кожна професійна або серверна версія Windows включала клієнт RDP, офіційно відомий як Remote Desktop Connection. Це означає, що за словами дослідників, усі версії Windows з часів використання аналогових 56 Kbps модемів є вразливими до нещодавно (повторно) виявленої вразливості.

Реакція на проблему та порушення принципів безпеки

Аналітик Даніель Уейд повідомив про проблему Microsoft на початку цього місяця. Цей недолік порушує загальноприйняті принципи операційної безпеки (opsec) і більше того. Коли користувач змінює пароль, він більше не має надавати доступ до віддаленої системи. «Люди вірять, що зміна пароля припинить несанкціонований доступ», — зазначив Уейд.

Ігнорування нових паролів при використанні RDP

Дослідники з’ясували, що протокол RDP продовжує приймати паролі, що раніше використовувалися, і які тепер зберігаються в кеші на локальній машині. Windows зберігає перевірені паролі в криптографічно захищеному місці на диску, і навіть нові машини можуть використовувати старий пароль для доступу до інших систем.

Недостатнє сповіщення користувачів про проблему

Онлайн-платформи управління та безпеки Microsoft — такі як Entra ID, Azure та Defender — не спрацьовують при виявленні цієї вразливості, а нові паролі можуть ігноруватися, в той час як старі продовжують працювати.

Реакція Microsoft на проблему безпеки

Крім того, Microsoft надала мало інформації для кінцевих користувачів щодо цієї дивної поведінки протоколу RDP. Дослідники зробили висновок, що мільйони користувачів — чи то вдома, в малих офісах (SOHO), чи в корпоративних налаштуваннях — знаходяться під загрозою. Коли було звернуто увагу на проблему, Microsoft підтвердила, що технологія RDP працює згідно з її проектними рішеннями.

Проектне рішення Microsoft: завжди забезпечити доступ

Згідно з Microsoft, ця поведінка є частиною проектного рішення, яке покликане «забезпечити наявність хоча б одного користувацького облікового запису, який завжди має можливість увійти в систему, незалежно від того, як довго система була оффлайн». Компанія вже була попереджена іншими дослідниками про цей «задній хід» ще в серпні 2023 року, через що новий аналіз не підлягає отриманню винагороди.

Відмова від виправлення: сумісність з додатками важливіша

Інженери з Редмонда намагалися змінити код, щоб усунути цей задній хід, але відмовилися від спроби, оскільки зміни можуть порушити сумісність з функцією Windows, на яку залежить багато додатків.