Старый пароль все еще пускает в Windows и Microsoft отказалась это чинить — Tproger

0
19

RDP в Windows кэширует старые пароли, позволяя подключаться даже после их смены. Microsoft заявила, что это «предусмотрено» и менять ничего не будет — ради совместимости. Исследователи считают это нарушением базового доверия

Оказалось, что в Windows можно подключиться по RDP, используя старый пароль — даже если его уже сменили. Microsoft в курсе, но говорит: это не баг, а так задумано.

Старый пароль? Добро пожаловать

Исследователь безопасности Дэниел Уэйд сообщил, что Windows Remote Desktop Protocol (RDP) кэширует старые пароли.

Если вы поменяли пароль аккаунта, это не мешает подключаться к машине через RDP со старым паролем. Более того — нет способа отключить этот механизм или получить хоть какое-то уведомление о его работе.

Читать также:
В России айтишника осудили на 13 лет за шпионаж в пользу США — Tproger

Microsoft: «Так надо, чтобы вы не остались без доступа»

По словам Microsoft, это не уязвимость, а «предусмотренное поведение», позволяющее не потерять доступ к машине после длительного офлайна. И менять его компания не собирается — чтобы не сломать совместимость с корпоративным софтом.

Проблема в доверии, а не в кэше

Уэйд называет это «нарушением базового доверия к системе».

Все дело в том, что обычно смена пароля — это способ закрыть доступ. В случае с RDP — это иллюзия. Если пароль утек, злоумышленник может зайти через RDP, даже после того как вы его поменяли. И вы об этом даже не узнаете.

Известно с 2023 года и все равно игнор

О проблеме Microsoft знала еще в августе 2023 года, но решила ничего не менять.

Причина — опасения за совместимость. Выходит, безопасность снова проиграла удобству.