微软远程桌面惊现口令时光机:旧口令为何能永久通行?

admin 2025年5月1日14:00:31评论0 views字数 2039阅读6分47秒阅读模式

据Ars Technica 5月1日最新文章,微软远程桌面协议(RDP)近期被曝存在严重设计缺陷:即使用户已修改微软或Azure账户密码,攻击者仍可通过旧密码无限期远程登录设备。其核心问题源于本地凭证缓存机制——用户首次通过在线账户登录RDP时,系统会在本地硬盘加密存储密码副本,此后所有RDP登录仅核对此缓存而非实时验证云端密码有效性。这一设计导致多重安全风险:旧密码可绕过多因素认证(MFA)和条件访问策略,Defender等安防产品全程无告警,使国家级黑客能长期潜伏或勒索软件维持控制权,而管理员却难以察觉异常登录。微软辩称此行为系"确保断网可登录"的设计决策,并更新文档轻描淡写提示风险,但安全研究员Daniel Wade指出这造成"安全信任崩塌",专家Will Dormann更批评"从逻辑上毫无安全意义"。目前唯一解决方案是禁用本地缓存验证(关闭"仅允许Windows Hello登录"选项),但将导致断网无法远程访问。讽刺的是,微软早在2023年8月就收到漏洞报告,却以"维护兼容性"为由拒绝修复。在零信任架构成主流的当下,此举不仅暴露微软将商业便利凌驾于基础安全之上,更为全球数百万用户埋下"隐形后门",凸显科技巨头在安全与用户体验间的失衡抉择。

微软远程桌面惊现口令时光机:旧口令为何能永久通行?

问题细节:本地凭据缓存埋下隐患

微软远程桌面协议(RDP)存在一个反直觉的设计逻辑:即使用户已通过微软或Azure账户修改口令,攻击者仍可通过旧口令无限期远程登录目标设备。其核心机制在于本地凭据缓存——首次使用在线账户登录RDP时,系统会在硬盘中加密存储口令副本。此后所有RDP登录仅核对本地缓存,不再联网验证口令有效性。这意味着:

修改云端口令后,旧口令仍可通过RDP远程控制设备

部分情况下,多个旧口令同时生效,新口令反而被"无视"

微软Defender、Entra ID等安全产品全程静默,无任何告警

微软官方将此归为"设计决策",声称是为确保用户断网时仍能登录,但安全研究员Daniel Wade指出:"这相当于在系统中留下静默后门,违背了口令失效的基本安全原则。"

微软远程桌面惊现口令时光机:旧口令为何能永久通行?

危害及后果:攻击者的"永恒通行证"

这一漏洞对个人和企业构成多重威胁。

APT攻击的温床:国家级黑客可利用此特性长期潜伏。例如,窃取企业高管微软账户后,即使口令被修改,仍可通过RDP渗透其历史登录过的所有设备,实现横向移动。

勒索软件帮凶:攻击者入侵云端账户后,即使企业紧急重置口令,仍能通过旧口令维持对关键服务器的控制,部署加密程序。

绕过安全防线:多因素认证(MFA)、条件访问策略在此形同虚设——RDP仅依赖本地缓存,完全规避云端安全验证。

隐蔽性强:无日志记录、无告警提示,管理员难以察觉异常登录,数据泄露风险骤增。

业界专家看法:"安全信任的崩塌"

安全社区对此设计强烈质疑。

Daniel Wade(漏洞报告者):"这是信任的崩塌。用户认为改口令就能切断入侵,但微软让这成为幻觉。"

Will Dormann(Analygence安全分析师):"从安全角度看这毫无逻辑。如果我是管理员,我会假设旧口令已失效,但现实打脸。"

业界共识:微软将"用户体验"凌驾于安全之上,牺牲了基础防护原则。类似设计在银行或支付系统中绝对不可接受。

缓解措施:亡羊补牢指南

目前唯一解决方案是禁用本地凭据缓存,强制RDP每次联网验证口令。

进入【Windows设置】→【系统】→【远程桌面】

关闭“仅允许使用Windows Hello登录”选项

对企业用户,可通过组策略强制执行此配置

【闲话简评】:微软的"贴心"为何成了用户的噩梦?

微软此举暴露了安全逻辑的致命矛盾——为追求"用户永不锁定"的便利,不惜埋下持久风险。RDP作为企业远程管理核心工具,却允许旧口令永久通行,无异于在防火墙留了扇不上锁的后门。

微软告诉韦德,他并不是第一个将这种行为报告为安全漏洞的人。更令人不安的是微软的态度:早在2023年8月就有研究员报告此问题,但微软以"兼容性"为由拒绝修复,甚至更新文档轻描淡写带过。这种将商业考量置于用户安全之上的做法,与当前严峻的网络攻防形势背道而驰。

讽刺的是,微软近年力推"零信任"架构,但RDP的设计恰恰是零信任的反面教材。当"改口令"这一基础安全动作失效,用户还能相信什么?或许,微软是该重学一课:安全不是便利的代价,而是数字时代的生存底线。

参考资源 

1、https://arstechnica.com/security/2025/04/windows-rdp-lets-you-log-in-using-revoked-passwords-microsoft-is-ok-with-that/

2、https://learn.microsoft.com/en-us/windows-server/security/windows-authentication/windows-logon-scenarios

原文始发于微信公众号(网空闲话plus):微软远程桌面惊现口令时光机:旧口令为何能永久通行?

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月1日14:00:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   微软远程桌面惊现口令时光机:旧口令为何能永久通行?https://cn-sec.com/archives/4023553.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息