Windows RDP позволяет входить в систему по отозванному паролю, Microsoft это устраивает, в компании не считают это багом

Профильные эксперты по ИБ выяснили, что опция удалённого рабочего стола в Windows по протоколу RDP (Remote Desktop Protocol) позволяет пользователям входить в систему, используя пароли, отозванные ранее системным администратором. Причём разработчиков из Microsoft такая ситуация устраивает, в компании не считают подобное поведение системным багом. Исследователи, наоборот, говорят, что такая ситуация равносильна постоянному бэкдору в корпоративной системе.

Смена пароля — один из первых шагов, которые пользователи должны предпринять в случае утечки пароля или взлома учётной записи. Пользователи ожидают, что после того, как они сделают этот шаг, ни одно из устройств, которые полагались на пароль, не будет доступно.

Протокол удаленного рабочего стола — запатентованный механизм, встроенный в Windows, позволяющий удаленному пользователю входить в систему и управлять компьютером, как если бы он находился прямо перед ним, — однако во многих случаях продолжает доверять паролю даже после того, как пользователь его изменил. Microsoft настаивает, что такое поведение является дизайнерским решением, чтобы гарантировать, что пользователи никогда не будут заблокированы.

Независимый исследователь безопасности Дэниел Уэйд сообщил об этом поведении в начале этого месяца в Центр реагирования на безопасность Microsoft. В отчете он предоставил пошаговые инструкции по воспроизведению поведения. Уэйд пояснил, что такой дизайн бросает вызов почти всеобщим ожиданиям, что после смены пароля он больше не может предоставлять доступ к любым устройствам или учетным записям, связанным с ним.

«Это не просто ошибка. Это подрыв доверия, — написал Уэйд в своем отчете. — Люди верят, что изменение пароля отсечет несанкционированный доступ». Это первое, что делает