Windows RDP به شما امکان می دهد با استفاده از رمزهای عبور ابطال شده وارد سیستم شوید. مایکروسافت با آن خوب است.

امکان استفاده از رمز عبور ابطال شده برای ورود به سیستم از طریق RDP هنگامی اتفاق می افتد که یک دستگاه ویندوز که با یک حساب مایکروسافت یا لاجورد وارد شده است ، پیکربندی شده است تا دسترسی به دسک تاپ از راه دور را فعال کند. در این حالت ، کاربران می توانند با یک رمزعبور اختصاصی که در برابر اعتبار محلی ذخیره شده معتبر است ، از طریق RDP وارد سیستم شوند. از طرف دیگر ، کاربران می توانند با استفاده از اعتبارنامه برای حساب آنلاین که برای ورود به دستگاه استفاده می شود وارد سیستم شوند.

با این حال ، حتی پس از تغییر رمز عبور حساب خود ، برای ورود به سیستم RDP به طور نامحدود معتبر است. در بعضی موارد ، وید گزارش داد ، چندین رمز عبور قدیمی قدیمی کار خواهند کرد در حالی که موارد جدیدتر نیستند. نتیجه: دسترسی مداوم RDP که از تأیید ابر ، احراز هویت چند عاملی و سیاستهای دسترسی شرطی دور می شود.

وید و یکی دیگر از متخصصان ویندوز Security گفتند که رفتار کمی شناخته شده می تواند در سناریوهایی که یک حساب مایکروسافت یا لاجورد به خطر افتاده است ، پرهزینه باشد ، به عنوان مثال وقتی رمزهای عبور برای آنها به طور عمومی فاش شده است. در چنین رویدادی ، اولین دوره عمل تغییر رمز عبور برای جلوگیری از استفاده از یک طرف مقابل برای دسترسی به منابع حساس است. در حالی که تغییر رمز عبور مانع ورود دشمن به حساب مایکروسافت یا لاجورد می شود ، رمز عبور قدیمی از طریق RDP به طور نامحدود دسترسی دشمن را به دستگاه کاربر می دهد.

وید در گزارش خود نوشت: “این یک پشتی خاموش و از راه دور در هر سیستمی ایجاد می کند که رمز عبور آن را ذخیره کرده است.” “حتی اگر مهاجم هرگز به آن سیستم دسترسی نداشته باشد ، ویندوز هنوز به رمز عبور اعتماد خواهد کرد.”

ویل دورمان ، یک تحلیلگر ارشد آسیب پذیری در شرکت امنیتی تجزیه و تحلیل ، موافقت کرد.

وی در مصاحبه ای آنلاین نوشت: “این از دیدگاه امنیتی معنی ندارد.” “اگر من یک sysadmin هستم ، انتظار دارم که لحظه ای که رمز عبور را تغییر می دهم ، اعتبار قدیمی آن حساب را نمی توان در هیچ کجا استفاده کرد. اما این طور نیست.”

ذخیره سازی اعتبار یک مشکل است

مکانیسمی که همه اینها را ممکن می سازد ، ذخیره اعتبار در هارد دیسک دستگاه محلی است. اولین باری که کاربر با استفاده از اعتبارنامه حساب مایکروسافت یا Azure وارد سیستم می شود ، RDP اعتبار رمز عبور را بصورت آنلاین تأیید می کند. ویندوز سپس اعتبار را در قالب رمزنگاری شده ایمن در دستگاه محلی ذخیره می کند. از آن به بعد ، ویندوز هر رمز عبور وارد شده در طی ورود به سیستم RDP را با مقایسه آن در برابر اعتبار محلی ذخیره شده و بدون جستجوی آنلاین تأیید می کند. با این کار ، رمز عبور ابطال شده همچنان از طریق RDP دسترسی از راه دور خواهد داشت.