Microsoft-tai Azure-tilin salasanan vaihtaminen ei ehkä suojata Windows-tietokonetta etäkäyttöön niin täysin kuin odotit. Erityinen käyttäytyminen Windows’ etätyöpöytäprotokolla (RDP) -Teknologia, joka antaa käyttäjille mahdollisuuden hallita PC: n etäisyyttä, että se tarkoittaa sitä, että upotusten keskiarvot, jotka ovat joutuneet silloin, kun olet joutunut siihen, että upotusten keskiarvot ovat upotettuja. koneeseesi etäisesti.
Ongelman juuri on se, kuinka Windows hoitaa todennuksen RDP-istunnoille, jotka on linkitetty Microsoft-tai Azure-tileihin. Kun Windows on onnistunut tarkistamaan käyttöoikeustiedot ensimmäistä kertaa, Windows tallentaa salausteknisesti suojatun kopion paikallisesti.
monille seuraavalle RDP-logi-login-tarkistukselle. tätä paikallista välimuistia vastaan. Jos se vastaa aiemmin kelvollista, välimuistissa olevaa valtakirjaa-jopa sellaista, joka on sittemmin peruutettu verkossa-pääsy myönnetään, ohittaen tehokkaasti nykyiset salasanatarkistukset, monitektorit todennuskehotteet ja muut pilvipohjaiset käyttöoikeuskäytännöt.
Luottamus-ja turvallisuuskysymys
riippumaton tietoturvakeskus, joka on tuonut tämän toiminnan. Huhtikuussa. Wade korosti, että vanhat salasanat voisivat pysyä toiminnallisena määräämättömäksi ajaksi RDP-pääsyn suhteen, mahdollisesti jopa täysin uusista laitteista, jotka yhdistävät etäyhteyden, luomatta vakiovaroituksia Standard Security-ohjelmistosta. Wade korosti yleistä odotusta, että salasanan muutos mitätöi heti vanhan valtakirjan.”Ihmiset luottavat siihen, että heidän salasanansa vaihtaminen katkaisee luvattoman pääsyn… Se on ensimmäinen asia, jonka kukaan tekee epäiltyään kompromisseja”, hän kirjoitti ja lisäsi:”Tulos? Miljoonat käyttäjät-kotona, pienyrityksissä tai hybridi-työasetuksissa-ovat tietämättömästi vaarassa.”Wade varoitti, että tämä luo “hiljaisen etäoven mihin tahansa järjestelmään, jossa salasana on koskaan välimuisti.”
Microsoftin sijainti ja vastaus
Microsoftin virallinen selitys keskittyy käytettävyyteen verkkokatkoksen aikana. Yhtiö totesi, että paikallinen välimuistimekanismi on “suunnittelupäätös varmistaa, että ainakin yhdellä käyttäjätilillä on aina kyky kirjautua sisään riippumatta siitä, kuinka kauan järjestelmä on ollut offline-tilassa.”Koska Microsoft ilmoitti tämän olevan tarkoitettu, Microsoft ilmoitti Wadelle, että se ei täytä turvallisuushaavoittuvuuden asiaa.
Yritys paljasti myös, että asia oli aiemmin raportoitu, totesivat:”Olemme päättäneet, että tämä on kysymys, jonka toinen tutkija on jo ilmoittanut meille elokuussa 2023, joten tämä tapaus ei ole oikeutettu palkitsemiseen.”Vaikka koodimuutosta harkittiin alun perin, se lopulta hylättiin huolenaiheiden vuoksi, että se”voisi rikkoa yhteensopivuuden monien sovellusten käyttämien toimintojen kanssa.”
asiantuntijakuvat ja rajoitettu lieventäminen
turvallisuusammattilaiset näkevät tämän perustelun huolestuttavana. Will Dormann, Analygencen vanhempi haavoittuvuusanalyytikko, kertoi ARS Technicalle:”Se ei ole järkevää turvallisuuden kannalta… Jos olen sysadmin, odotan, että kun muutan tilin salasanaa, niin tilin vanhoja valtakirjoja ei voida käyttää. Mutta tämä ei ole tapaus.”Hyökkääjä, vaikka se on lukittu online-tililtä salasanan palautuksen jälkeen, saattaa säilyttää jatkuvan RDP-pääsyn käyttäjän Windows-koneen käyttämällä vanhaa, vaarannetun salasanan.
Wade’n raportin jälkeen Microsoft päivitti online-dokumentaatio, joka kattaa Windows Logon Skenaarios . Lisättiin uusi varovaisuus: “Kun käyttäjä suorittaa paikallisen kirjautumisen, heidän valtakirjansa varmennettiin paikallisesti välimuistissa olevaa kopiota vastaan ennen kuin ne todennetaan identiteettipalveluntarjoajan kanssa verkon kautta… Jos käyttäjä muuttaa salasanansa pilvessä, välimuistissa olevaa tarkistajaa ei päivitetä, mikä tarkoittaa, että he voivat silti käyttää paikallista konettaan käyttämällä vanhaa salasanaa.”Dormann ehdotti, että tällä hetkellä käytettävissä oleva suorin lieventäminen on määrittää RDP-asetukset uudelleen todentamaan käyttämällä vain perinteisiä, paikallisesti hallittuja Windows-käyttäjätilejä ja salasanoja, välttäen siten Microsoft/Azure-tilien integroinnin ja siihen liittyvän välimuistin käyttäytymisen RDP-loistoille. Desktop Connection”-asiakas, Windowiin integroitu apuohjelma vuosikymmenien ajan. On tärkeää olla sekoittamatta tätä sisäänrakennettua työkalua erillisellä “etäpöytäsovelluksella” jaetun Microsoft Store-sovelluksen kautta. Kuten maaliskuussa 2025 ilmoitettiin, Microsoft jää eläkkeelle kyseiselle Store-sovellukselle 27. toukokuuta 2025, neuvoen käyttäjään, jotka muodostavat yhteyden pilvipalveluihin, kuten Windows 365 tai Azure Virtual Desktop siirtyäkseen uudempaan Windows-sovellukseen. Tämä sovelluksen eläkkeelle siirtyminen on erillinen ja ei muuta perinteisen “etätyöpöytäyhteyden”toiminnallisuutta tai salasanan välimuistikäyttäytymistä.
