Microsoft 已确认其远程桌面协议 (RDP) 允许用户使用已更改或撤销的密码登录 Windows 计算机。
该公司表示,它没有计划改变这种行为,将其描述为有意的设计决策,而不是安全漏洞。
独立安全研究员 Daniel Wade 向 Microsoft 安全响应中心报告称,在某些情况下,RDP 将继续接受旧密码进行远程访问,即使用户由于泄露或常规安全卫生而更改了密码,该问题也随之曝光。
Wade 的调查结果在 Ars Technica 的一份报告中进行了详细说明,警告说,这种行为破坏了用户对密码更改的信任,以此作为切断未经授权访问的手段。
“这不仅仅是一个错误。这是信任崩溃,”韦德写道。“人们相信更改密码会切断未经授权的访问。结果呢?数以百万计的用户——在家中、在小型企业中或混合工作设置中——在不知不觉中处于风险之中。
漏洞的工作原理
该漏洞源于 Windows 如何处理与 Microsoft 或 Azure 帐户绑定的 RDP 会话的身份验证。当用户使用此类帐户登录时,Windows 会在线验证密码,然后在本地存储加密安全版本。
对于后续的 RDP 登录,系统会根据此本地缓存检查输入的密码,而不是在线重新验证密码。如果密码与任何以前有效的缓存凭据匹配,即使凭据已被更改或撤销,也会授予访问权限。
这意味着,即使在云中更改了密码,旧密码对 RDP 仍无限期有效。在某些情况下,多个旧密码可能有效,而最新的密码则无效。
安全专业人员对此影响表示担忧。Analygence 的高级漏洞分析师 Will Dormann 指出:“从安全角度来看,这没有意义。如果我是一名系统管理员,我会期望在我更改帐户密码的那一刻,该帐户的旧凭据就不能在任何地方使用。但事实并非如此。
发布的报告称,该漏洞有效地绕过了云验证、多因素身份验证和条件访问策略,为获得旧凭据的攻击者创造了一个持久的后门。
Microsoft 的回应:“不是安全漏洞”
尽管存在风险,但 Microsoft 拒绝将这种行为归类为错误或漏洞。该公司表示,该设计确保至少有一个用户帐户始终可以登录,即使系统已长时间离线。
Microsoft 已更新其文档以警告用户,但除了建议将 RDP 配置为仅使用本地存储的凭据进行身份验证外,尚未就如何降低风险提供明确的指导。
Microsoft 发言人证实,该公司至少从 2023 年 8 月开始就已经意识到该问题,但坚持认为更改行为可能会破坏与现有应用程序的兼容性。
-
更改 Microsoft 或 Azure 密码不会立即撤销对旧凭据的 RDP 访问权限。 -
当使用旧密码进行 RDP 登录时,没有明确的警报或警告。 -
Microsoft 的安全工具(包括 Defender 和 Azure)不会标记此行为。
目前,专家建议组织审查其 RDP 配置,并考虑限制远程访问或强制执行本地身份验证以减少暴露。
Microsoft 的立场使数百万人处于危险之中,凸显了用户对密码安全的期望与 Windows RDP 设计的现实之间存在根本脱节。
免责声明:
本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理,文章版权归原作者所有,仅供读者学习、参考,禁止用于商业用途。因转载众多,无法找到真正来源,如标错来源,或对于文中所使用的图片、文字、链接中所包含的软件/资料等,如有侵权,请跟我们联系删除,谢谢!
原文始发于微信公众号(网安百色):Windows RDP 错误允许使用过期密码登录
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论