Windows RDP cho phép bạn đăng nhập bằng mật khẩu đã bị thu hồi. Microsoft chấp nhận điều đó.

Từ bộ phận đầu trầy xước đến tin tức phản trực giác này: Microsoft cho biết họ không có kế hoạch thay đổi giao thức đăng nhập từ xa trong Windows cho phép mọi người đăng nhập vào máy bằng mật khẩu đã bị thu hồi.

Thay đổi mật khẩu là một trong những bước đầu tiên mọi người nên thực hiện trong trường hợp mật khẩu bị rò rỉ hoặc tài khoản bị xâm phạm. Mọi người mong đợi rằng một khi họ đã thực hiện bước này, không có thiết bị nào dựa vào mật khẩu có thể được truy cập.

Không chỉ là một lỗi

Các Giao thức máy tính từ xa—cơ chế độc quyền được tích hợp trong Windows để cho phép người dùng từ xa đăng nhập và điều khiển máy như thể họ đang ở ngay trước it—, tuy nhiên, trong nhiều trường hợp sẽ tiếp tục tin tưởng vào mật khẩu ngay cả sau khi người dùng đã thay đổi mật khẩu đó. Microsoft cho biết hành vi này là một quyết định thiết kế để đảm bảo người dùng không bao giờ bị khóa.

Nhà nghiên cứu bảo mật độc lập Daniel Wade đã báo cáo hành vi này vào đầu tháng này cho Trung tâm phản hồi bảo mật của Microsoft. Trong báo cáo, ông đã cung cấp hướng dẫn từng bước để tái tạo hành vi. Ông tiếp tục cảnh báo rằng thiết kế này bất chấp những kỳ vọng gần như phổ biến rằng một khi mật khẩu đã được thay đổi, nó sẽ không thể cấp quyền truy cập vào bất kỳ thiết bị hoặc tài khoản nào được liên kết với nó nữa.

“Đây Không Chỉ Là Lỗi. Đó là sự suy sụp niềm tin,” Wade viết trong báo cáo của mình. “Mọi người tin tưởng rằng việc thay đổi mật khẩu sẽ cắt đứt quyền truy cập trái phép.” Ông nói tiếp:

Đó là điều đầu tiên bất cứ ai làm sau khi nghi ngờ thỏa hiệp. Và chưa:

• Thông tin xác thực cũ tiếp tục hoạt động cho RDP—ngay cả từ các máy hoàn toàn mới.
• Defender, Entra ID, và Azure không giơ bất kỳ lá cờ nào.
• Không có cách nào rõ ràng để người dùng cuối phát hiện hoặc khắc phục sự cố.
• Không có tài liệu hoặc hướng dẫn nào của Microsoft đề cập trực tiếp đến tình huống này.
• Ngay cả những mật khẩu mới hơn cũng có thể bị bỏ qua trong khi những mật khẩu cũ hơn vẫn tiếp tục hoạt động.

Kết quả? Hàng triệu người dùng— tại nhà, trong các doanh nghiệp nhỏ hoặc các cơ sở làm việc kết hợp đều vô tình gặp rủi ro.

Đáp lại, Microsoft cho biết hành vi này là một quyết định thiết kế “để đảm bảo rằng ít nhất một tài khoản người dùng luôn có khả năng đăng nhập cho dù hệ thống đã ngoại tuyến bao lâu.” Như vậy, Microsoft cho biết hành vi này không đáp ứng định nghĩa về lỗ hổng bảo mật và các kỹ sư của công ty không có kế hoạch thay đổi nó.

Khả năng sử dụng mật khẩu bị thu hồi để đăng nhập thông qua RDP xảy ra khi một máy Windows mà Lừa đã đăng nhập bằng tài khoản Microsoft hoặc Azure được cấu hình để cho phép truy cập máy tính từ xa. Trong trường hợp đó, người dùng có thể đăng nhập qua RDP bằng mật khẩu chuyên dụng được xác thực dựa trên thông tin xác thực được lưu trữ cục bộ. Ngoài ra, người dùng có thể đăng nhập bằng thông tin xác thực cho tài khoản trực tuyến được sử dụng để đăng nhập vào máy.

Ngay cả sau khi người dùng thay đổi mật khẩu tài khoản của họ, tuy nhiên, nó vẫn hợp lệ cho đăng nhập RDP vô thời hạn. Trong một số trường hợp, Wade báo cáo, nhiều mật khẩu cũ hơn sẽ hoạt động trong khi những mật khẩu mới hơn sẽ không. Kết quả: truy cập RDP liên tục bỏ qua xác minh đám mây, xác thực đa yếu tố và chính sách Truy cập có điều kiện.

Wade và một chuyên gia khác về bảo mật Windows nói rằng hành vi ít được biết đến có thể gây tốn kém trong các tình huống tài khoản Microsoft hoặc Azure bị xâm phạm, chẳng hạn như khi mật khẩu của chúng bị rò rỉ công khai. Trong trường hợp như vậy, hành động đầu tiên là thay đổi mật khẩu để ngăn kẻ thù sử dụng mật khẩu đó để truy cập các tài nguyên nhạy cảm. Mặc dù việc thay đổi mật khẩu ngăn đối thủ đăng nhập vào tài khoản Microsoft hoặc Azure, mật khẩu cũ sẽ cung cấp cho đối thủ quyền truy cập vào máy của người dùng thông qua RDP vô thời hạn.

“Điều này tạo ra một cửa hậu từ xa, im lặng vào bất kỳ hệ thống nào mà mật khẩu từng được lưu vào bộ nhớ đệm, ” Wade viết trong báo cáo của mình. “Ngay cả khi kẻ tấn công không bao giờ có quyền truy cập vào hệ thống đó, Windows vẫn sẽ tin tưởng mật khẩu.”

Will Dormann, một nhà phân tích lỗ hổng cao cấp tại công ty bảo mật Analygence, đã đồng ý.

“Nó không có ý nghĩa từ góc độ bảo mật,” anh ấy đã viết trong một cuộc phỏng vấn trực tuyến. “Nếu tôi là quản trị viên hệ thống, tôi mong đợi rằng thời điểm tôi thay đổi mật khẩu của một tài khoản, thì thông tin đăng nhập cũ của tài khoản đó không thể được sử dụng ở bất cứ đâu. Nhưng đây không phải là trường hợp.”

Credential caching là một vấn đề

Cơ chế làm cho tất cả những điều này có thể thực hiện được là bộ nhớ đệm thông tin xác thực trên ổ cứng của máy cục bộ. Lần đầu tiên người dùng đăng nhập bằng thông tin đăng nhập tài khoản Microsoft hoặc Azure, RDP sẽ xác nhận tính hợp lệ của mật khẩu trực tuyến. Sau đó, Windows lưu trữ thông tin xác thực ở định dạng được bảo mật bằng mật mã trên máy cục bộ. Từ đó trở đi, Windows sẽ xác thực bất kỳ mật khẩu nào được nhập trong quá trình đăng nhập RDP bằng cách so sánh mật khẩu đó với thông tin xác thực được lưu trữ cục bộ mà không cần tra cứu trực tuyến. Cùng với đó, mật khẩu bị thu hồi vẫn sẽ cấp quyền truy cập từ xa thông qua RDP.