Niezależni badacze bezpieczeństwa odkryli poważną, choć nie nową, lukę w protokole Remote Desktop Protocol (RDP), opracowanym przez Microsoft. Usterka umożliwia zdalny dostęp do systemu Windows przy użyciu hasła, które zostało już zmienione lub unieważnione przez administratora. Mimo powagi problemu, Microsoft nie planuje jego usunięcia, argumentując, iż naprawa mogłaby naruszyć zgodność z istniejącymi aplikacjami.
RDP, dawniej znany jako Terminal Services, to protokół Microsoftu służący do zdalnych połączeń z komputerami z systemem Windows. Badacze wykazali, że protokół ten akceptuje wcześniej używane hasła, nawet jeśli zostały one już zmienione po incydencie bezpieczeństwa lub przez decyzję administratora. Co istotne, zjawisko to dotyczy praktycznie wszystkich wersji systemu Windows, począwszy od czasów Windows NT 4.0, aż po najnowsze edycje.
Poważna luka w zabezpieczeniach protokołu RDP Microsoftu. Firma nie planuje jej naprawić
Według analityka Daniela Wade’a, który zgłosił problem do Microsoftu, sytuacja ta stanowi rażące naruszenie podstawowych zasad bezpieczeństwa operacyjnego. Jak zaznacza, użytkownicy systemów informatycznych mają uzasadnione oczekiwanie, że zmiana hasła uniemożliwi dalszy nieautoryzowany dostęp do ich zasobów.
Problem polega na tym, że RDP przechowuje zweryfikowane wcześniej hasła w lokalnej pamięci urządzenia, w zaszyfrowanym miejscu na dysku. Oznacza to, że nawet nowe maszyny mogą – dzięki tym zapisanym danym – uzyskiwać dostęp do innych systemów, używając starych, teoretycznie nieaktualnych już haseł.
Dodatkowym zaskoczeniem dla badaczy było to, iż flagowe systemy bezpieczeństwa oraz zarządzania Microsoftu, takie jak Entra ID, Azure czy Defender, nie sygnalizują w żaden sposób tego rodzaju zachowania. Według analizy, sytuacja ta może potencjalnie dotyczyć milionów użytkowników – zarówno domowych, jak i biznesowych.
Microsoft potwierdził, że sposób działania RDP nie jest błędem, lecz zamierzonym efektem projektowym. Firma tłumaczy, że rozwiązanie ma zapewnić dostęp do systemu co najmniej jednemu kontu użytkownika, nawet jeśli komputer był offline przez dłuższy czas. Choć firma była już wcześniej informowana o tej luce w sierpniu 2023 roku, żadne działania naprawcze nie zostały wdrożone. Próby modyfikacji kodu zostały podobno porzucone ze względu na ryzyko zakłócenia działania funkcji systemowych, z których korzysta wiele aplikacji.
W świetle tych informacji użytkownicy korzystający z RDP powinni zachować szczególną ostrożność, stosować dodatkowe zabezpieczenia i monitorować potencjalne nieautoryzowane logowania – nawet po zmianie hasła.
Pokaż / Dodaj komentarze do: Luka w Windows może zagrażać bezpieczeństwu użytkowników. Microsoft nie zamierza jej usuwać