Исследователь безопасности компьютерных систем Дэниел Уэйд сообщил компании Microsoft о проблеме: даже после изменения или отзыва пароля старые учетные данные все равно могут использоваться для входа по протоколу удаленного рабочего стола RDP. Это создает возможность для злоумышленников, которые получили доступ к украденным учетным данным, продолжать пользоваться ими для удаленного доступа к компьютеру. Более того, в некоторых случаях старые пароли работают, а новые — нет.

Причина проблемы заключается в том, что Windows кеширует учетные данные, впервые использованные для входа через RDP, сохраняя их на локальной машине. В дальнейшем система проверяет входы через RDP именно по этим сохраненным данным, игнорируя такие дполнительные способы обеспечения безопасности, как многофакторная аутентификация или политики условного доступа.

Большинство экспертов в области безопасности выразили удивление тем, что отзыв учетных данных в протоколе удаленного доступа Microsoft не означает их полную блокировку. По их мнению, в такой ситуации дальнейшее использование RDP для удаленного доступа к Windows становится рискованным шагом, который может привести к серьезным последствиям. В SANS Institute отметили, что системные администраторы часто не осознают, что RDP кэширует учетные данные для предотвращения выхода из системы в случае потери связи с сервером аутентификации.

Официальная позиция Microsoft обескуражила специалистов. В компании заявили, что подобное поведение является «продуманным решением»: такой подход гарантирует, что хотя бы один пользователь всегда сможет войти в систему, даже если она долго находилась в офлайне. Microsoft не считает это уязвимостью и не планирует менять данное поведение.

Между тем, эксперты недоумевают, почему столь важная характеристика безопасности не является настраиваемой опцией. По их мнению, это противоречит концепции «нулевого доверия», которую активно продвигает сама Microsoft в рамках своей инициативы Secure Future Initiative.

В SANS Institute рекомендуют максимально изолировать RDP-точки доступа и постараться внедрить надежные методы аутентификации. В более долгосрочной перспективе целесообразно пересмотреть стратегию использования RDP для организации удаленного доступа к Windows-машинам. Эксперты призывают компании быть более осторожными и требовать от Microsoft исправления или предоставления возможности настройки данного поведения.