Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   RDP в Windows позволяет использовать для входа старые пароли, и Microsoft не видит в этом проблемы (http://txgate.io:443/showthread.php?t=51297327)

WWW 05-26-2025 12:04 PM
<div id="post_message_790195">

Исследователи обнаружили, что протокол RDP (Remote Desktop Protocol) в Windows позволяет использовать уже отозванные пароли для входа в систему. В ответ на это представители Microsoft сообщили, что такое поведение не является уязвимостью, в компании не планируют что-либо менять.<br/>
<br/>
Хотя смена пароля — один из первых шагов, которые следует предпринять в случае утечки пароля или взлома учетной записи, в случае с RDP все может быть не так просто.<br/>
<br/>
Как сообщает издание <a href="https://arstechnica.com/security/2025/04/windows-rdp-lets-you-log-in-using-revoked-passwords-microsoft-is-ok-with-that/" target="_blank">ArsTechnica</a>, независимый ИБ-исследователь Дэниел Уэйд (Daniel Wade) обнаружил, что во многих случаях RDP будет продолжать доверять паролю даже после того, как пользователь его изменил. Эксперт уведомил о проблеме представителей Microsoft и составил пошаговую инструкцию для воспроизведения такого поведения.<br/>
<br/>
Уэйд подчеркивает, что это противоречит всем общепринятым представлениям о том, что после смены пароля тот больше не может предоставлять доступ к устройствам и учетным записям, связанным с ним.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Это не просто ошибка. Это полный подрыв доверия, — пишет эксперт в своем отчете. — Люди верят, что смена пароля отсечет несанкционированный доступ. Это первое, что делает человек, заподозривший компрометацию. И все же:<ul><li>старые учетные данные продолжают работать в RDP даже с совершенно новых машин;</li>
</ul><ul><li>Defender, Entra ID и Azure не отображают никаких предупреждений;</li>
</ul><ul><li>у конечных пользователей нет никакого способа для обнаружения и устранения проблемы;</li>
</ul><ul><li>нет документации или руководств Microsoft, которые напрямую рассматривали бы подобные сценарии;</li>
</ul><ul><li>даже более новые пароли могут игнорироваться, тогда как старые продолжают работать.</li>
</ul>Результат? Миллионы пользователей (дома, на малых предприятиях или в гибридных средах) неосознанно подвергаются риску».</font>
</td>
</tr>
</table>
</div>Возможность использования отозванного пароля для входа через RDP возникает в том случае, если Windows-машина, подключенная к учетной записи Microsoft или Azure, разрешает удаленный доступ к рабочему столу. В этом случае пользователи могут входить в систему через RDP, с помощью специального пароля, который сверяется с локально хранящимися учетными данными. Также пользователи могут войти в систему, используя данные онлайновой учетной записи, которая использовалась для входа на машину.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/05/511655/rdp-access-with-microsoft-accoun.jpg"/><br/>
<br/>
Проблема заключается в том, что даже после смены пароля тот остается действительным для входа через RDP на неопределенный срок. По словам Уэйда, встречаются случаи, когда некоторые старые пароли продолжают работать, а новые — нет. В результате можно иметь постоянный доступ к RDP в обход облачной верификации, многофакторной аутентификации и политик Conditional Access.<br/>
<br/>
Исследователь поясняет, что такое поведение может обернуться большими потерями в случае, если учетная запись Microsoft или Azure скомпрометирована, и пароли стали достоянием общественности. В такой ситуации первым делом нужно сменить пароль, чтобы не дать злоумышленникам возможности использовать его для доступа к важным ресурсам. Однако если смена пароля не позволит атакующим войти в учетную запись Microsoft и Azure, то старый пароль все равно будет предоставлять доступ к машине через RDP.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Это создает незаметный удаленный бэкдор к любой системе, где когда-либо был кеширован пароль, — пишет Уэйд. — Даже если у злоумышленника никогда не было доступа к этой системе, Windows все равно будет доверять паролю».</font>
</td>
</tr>
</table>
</div>Корень этой проблемы кроется в механизме кеширования учетных данных на жестком диске локальной машины. Так, при первом входе пользователя в систему с использованием учетных данных Microsoft или Azure RDP подтверждает действительность пароля в режиме онлайн. Затем Windows сохраняет учетные данные в криптографически защищенном формате на локальной машине.<br/>
<br/>
С этого момента система будет проверять любой пароль, введенный при входе через RDP, сравнивая его с локально хранящимися учетными данными. При этом аннулированный пароль по-прежнему будет старый пароль по-прежнему будет работать.<br/>
<br/>
В ответ на это представители Microsoft заявили, что описанное Уэйдом поведение является «конструктивным решением, призванным гарантировать, что хотя бы одна учетная запись пользователя всегда имеет возможность войти в систему, независимо от того, как долго она находилась в автономном режиме».<br/>
<br/>
При этом исследователю сообщили, что он не первый, кто сообщил об этой проблеме, и Microsoft знает о ней уже около двух лет.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Изначально мы рассматривали возможность изменения кода для решения этой проблемы, но после дальнейшего изучения документации оказалось, что изменения в коде могут нарушить совместимость с функциональностью, используемой многими приложениями», — заявили в компании.</font>
</td>
</tr>
</table>
</div>При этом подчеркивается, что такое поведение не является уязвимостью, и инженеры Microsoft не планируют ничего менять. Однако компания все же обновила <a href="https://learn.microsoft.com/en-us/windows-server/security/windows-authentication/windows-logon-scenarios" target="_blank">онлайн-документацию</a>, чтобы пользователи были лучше осведомлены о таком поведении. В обновлении говорится:<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Когда пользователь выполняет локальный вход в систему, его учетные данные проверяются локально с помощью кешированной копии, прежде чем пройти аутентификацию в онлайне, с помощью провайдера идентификации. Если проверка кеша прошла успешно, пользователь получает доступ к рабочему столу, даже если устройство работает в автономном режиме. Однако если пользователь меняет пароль в облаке, кешированный верификатор не обновляется, а значит, он все равно может получить доступ к локальной машине, используя старый пароль».</font>
</td>
</tr>
</table>
</div>Как сообщил изданию известный ИБ-эксперт Уилл Дорманн (Will Dormann), большинство администраторов могут попросту не заметить это обновление. К тому же Microsoft не указывает, какие действия следует предпринять для блокировки RDP в случае взлома учетной записи Microsoft или Azure. По словам специалиста, единственным вариантом является настройка RDP на аутентификацию только по локально хранящимся учетным данным.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«С точки зрения безопасности это просто бессмыслица, — говорит Дорманн. — Если бы я был системным администратором, я бы ожидал, что как только я изменю пароль для учетной записи, старые учетные данные для нее больше нельзя будет использовать нигде. Однако это не так».</font>
</td>
</tr>
</table>
</div><a href="https://xakep.ru/2025/05/07/rdp-windows-problems/" target="_blank">@ xakep.ru</a>
</div>

05-26-2025 12:17 PM
<div id="post_message_790196">

если всё так "плохо" почему рдп просто пропали с "рынка"?
</div>


All times are GMT. The time now is 09:39 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.