Содержание
RDP в Windows кэширует старые пароли, позволяя подключаться даже после их смены. Microsoft заявила, что это «предусмотрено» и менять ничего не будет — ради совместимости. Исследователи считают это нарушением базового доверия
Оказалось, что в Windows можно подключиться по RDP, используя старый пароль — даже если его уже сменили. Microsoft в курсе, но говорит: это не баг, а так задумано.
Старый пароль? Добро пожаловать
Исследователь безопасности Дэниел Уэйд сообщил, что Windows Remote Desktop Protocol (RDP) кэширует старые пароли.
Если вы поменяли пароль аккаунта, это не мешает подключаться к машине через RDP со старым паролем. Более того — нет способа отключить этот механизм или получить хоть какое-то уведомление о его работе.
Microsoft: «Так надо, чтобы вы не остались без доступа»
По словам Microsoft, это не уязвимость, а «предусмотренное поведение», позволяющее не потерять доступ к машине после длительного офлайна. И менять его компания не собирается — чтобы не сломать совместимость с корпоративным софтом.
Проблема в доверии, а не в кэше
Уэйд называет это «нарушением базового доверия к системе».
Все дело в том, что обычно смена пароля — это способ закрыть доступ. В случае с RDP — это иллюзия. Если пароль утек, злоумышленник может зайти через RDP, даже после того как вы его поменяли. И вы об этом даже не узнаете.
Известно с 2023 года и все равно игнор
О проблеме Microsoft знала еще в августе 2023 года, но решила ничего не менять.
Причина — опасения за совместимость. Выходит, безопасность снова проиграла удобству.
