El RDP de Windows permite iniciar sesión con contraseñas revocadas (y está bien según Microsoft) ~ Segu-Info

El protocolo desarrollado por Microsoft para facilitar las conexiones remotas
a equipos Windows contiene una falla de seguridad importante. Sin embargo,
Microsoft ha declarado que no tiene planes de solucionar el problema, ya que
ello afectaría la compatibilidad con muchas aplicaciones.

Investigadores independientes han descubierto, o mejor dicho, redescubierto,
una importante vulnerabilidad de seguridad en el Protocolo de Escritorio
Remoto (RDP) de Microsoft. Anteriormente conocido como Servicios de Terminal
Server,
RDP parece estar diseñado para validar siempre una contraseña usada
previamente para conexiones remotas, incluso si dicha contraseña ha sido
revocada

por un administrador del sistema o comprometida en una brecha de seguridad.

La tecnología RDP se remonta a la era de Windows NT 4.0, uno de los primeros
sistemas operativos de 32 bits lanzado en 1998. Desde Windows XP, todas las
versiones profesionales o de servidor de Windows incluyen un cliente RDP,
oficialmente conocido como Conexión a Escritorio Remoto. Esto significa que,
según los investigadores, todas las versiones de Windows desde la época de los
módems analógicos de 56 Kbps están afectadas por esta vulnerabilidad.

El analista
Daniel Wade informó del problema a Microsoft
a principios de este mes. La falla viola prácticas de seguridad operativa
(OPsec) universalmente reconocidas, e incluso más. Al cambiar una contraseña,
esta ya no debería permitir el acceso a un sistema remoto.
«»Esto no es solo un error. Es una pérdida de confianza. La gente confía en
que cambiar su contraseña impedirá el acceso no autorizado»
, afirmó Wade.

Cuando un usuario inicia sesión localmente, sus credenciales se verifican localmente con una copia en caché antes de autenticarse con un proveedor de identidad a través de la red. Si la verificación en caché es correcta, el usuario puede acceder al escritorio incluso si el dispositivo está sin conexión. Sin embargo, si el usuario cambia su contraseña en la nube, el verificador en caché no se actualiza, lo que significa que aún puede acceder a su equipo local con su contraseña anterior. «Esto crea una puerta trasera silenciosa y remota en cualquier sistema donde la contraseña se haya almacenado en caché», escribió Wade en su informe.«Incluso si el atacante nunca tuvo acceso a ese sistema, Windows seguirá confiando en la contraseña». Will Dormann, analista sénior de vulnerabilidades de la empresa de seguridad Analygence, coincidió.

Los investigadores descubrieron que RDP sigue aceptando contraseñas que se
han usado una vez y que ahora se almacenan en caché en una máquina local.

Windows almacena las contraseñas validadas en una ubicación criptográficamente
segura del disco, e incluso las máquinas nuevas pueden usar la contraseña
antigua para acceder a otros sistemas.

Las plataformas de administración y seguridad en línea de Microsoft, como
Entra ID, Azure y Defender, no generan ninguna alarma, y ​​las contraseñas más
nuevas pueden ignorarse mientras que las antiguas siguen funcionando.

Además,
Microsoft ha proporcionado poca información
a los usuarios finales sobre este comportamiento sorprendente del protocolo
RDP. Los investigadores concluyeron que millones de usuarios, ya sea en casa o
en entornos empresariales, están en riesgo. Cuando se les pidió que abordaran
el problema, Microsoft confirmó que
«la tecnología RDP funciona según lo previsto. Este comportamiento es una
decisión de diseño destinada a garantizar que al menos una cuenta de usuario
siempre pueda iniciar sesión, independientemente del tiempo que el sistema
haya estado desconectado»
.

La compañía ya había sido advertida sobre esta puerta trasera por otros
investigadores en agosto de 2023, lo que impidió que el nuevo análisis optara
a una recompensa. Según informes, los ingenieros de Redmond intentaron
modificar el código para eliminar la puerta trasera, pero abandonaron el
intento, ya que los cambios podrían afectar la compatibilidad con una función
de Windows de la que aún dependen muchas aplicaciones.

Fuente:
THN |
ArsTechnica


Ver fuente

Related Post