• Home » 
  • Tin Công Nghệ » 
  • Lỗ Hổng Bảo Mật RDP Windows: Mật Khẩu Cũ Vẫn Cho Phép Truy Cập Từ Xa, Microsoft Từ Chối Sửa

Lỗ Hổng Bảo Mật RDP Windows: Mật Khẩu Cũ Vẫn Cho Phép Truy Cập Từ Xa, Microsoft Từ Chối Sửa

By 0
Minh họa các công cụ và phần mềm truy cập máy tính từ xa qua Remote Desktop Protocol (RDP) của Windows, thường được quản trị viên IT sử dụng để hỗ trợ người dùng.
Table of Contents

Trong bối cảnh hệ điều hành Windows thường xuyên đối mặt với các vấn đề kỹ thuật và bảo mật do lịch sử mã nguồn phức tạp, một lỗ hổng nghiêm trọng mới liên quan đến giao thức Remote Desktop Protocol (RDP) đã được phát hiện. Điều đáng nói là dù tiềm ẩn rủi ro bảo mật đáng kể, Microsoft lại không coi đây là một lỗi cần khắc phục, khiến người dùng và quản trị viên hệ thống đối mặt với nguy cơ không mong muốn. Cụ thể, vấn đề nằm ở việc ngay cả khi người dùng đã thay đổi mật khẩu tài khoản, thông tin đăng nhập cũ vẫn có thể được sử dụng để truy cập từ xa vào máy tính Windows thông qua RDP trong một số trường hợp nhất định.

Remote Desktop Protocol (RDP) và Lỗ hổng tiềm ẩn

Remote Desktop Protocol (RDP) là một giao thức độc quyền của Microsoft cho phép người dùng kết nối và truy cập máy tính Windows từ xa. Chức năng này đặc biệt hữu ích cho các quản trị viên IT trong việc hỗ trợ người dùng hoặc quản lý hệ thống từ xa. Tuy nhiên, nếu bị kẻ xấu lợi dụng, RDP có thể trở thành một công cụ nguy hiểm để truy cập trái phép vào dữ liệu và hệ thống.

Minh họa các công cụ và phần mềm truy cập máy tính từ xa qua Remote Desktop Protocol (RDP) của Windows, thường được quản trị viên IT sử dụng để hỗ trợ người dùng.Minh họa các công cụ và phần mềm truy cập máy tính từ xa qua Remote Desktop Protocol (RDP) của Windows, thường được quản trị viên IT sử dụng để hỗ trợ người dùng.

Nhà nghiên cứu bảo mật Daniel Wade đã phát hiện ra một lỗ hổng đặc biệt nghiêm trọng trong Windows RDP. Theo đó, giao thức này cho phép các thông tin đăng nhập đã bị thu hồi (mật khẩu cũ) vẫn có thể hoạt động trong một số trường hợp. Điều này có nghĩa là, ngay cả khi mật khẩu cho RDP Windows đã được đặt lại thành một giá trị mới, bạn vẫn có khả năng kết nối từ xa đến máy chủ PC bằng mật khẩu cũ.

Tình huống này xảy ra khi một PC Windows được đăng nhập vào tài khoản Microsoft hoặc Azure và được cấu hình để sử dụng RDP. Người dùng đã xác thực có thể truy cập PC này từ xa bằng mật khẩu chuyên dụng được xác thực so với thông tin đăng nhập được lưu trữ cục bộ, hoặc thông qua tài khoản Microsoft/Azure. Tuy nhiên, Daniel Wade đã phát hiện ra rằng ngay cả khi mật khẩu cho tài khoản trực tuyến này được đặt lại, mật khẩu cũ vẫn có thể được sử dụng, tạo thành một lỗ hổng bảo mật lớn.

Will Dormann, một nhà phân tích lỗ hổng khác, cũng đã nhận định: “Điều này không có ý nghĩa từ góc độ bảo mật. Nếu tôi là một quản trị viên hệ thống, tôi sẽ mong đợi rằng ngay khi tôi thay đổi mật khẩu của một tài khoản, thì thông tin đăng nhập cũ của tài khoản đó không thể được sử dụng ở bất cứ đâu. Nhưng đây không phải là trường hợp xảy ra.” Daniel Wade cũng chỉ ra rằng các dịch vụ như Defender, Azure và Entra ID không hề báo hiệu hành vi này. Hơn nữa, không có dấu hiệu rõ ràng nào khi hoạt động này diễn ra, và tài liệu của Microsoft về vấn đề này cũng khá sơ sài.

Phản ứng của Microsoft: “Đây là tính năng, không phải lỗi”

Phản hồi trước báo cáo của Daniel Wade, Trung tâm Phản ứng Bảo mật Microsoft (MSRC) đã thừa nhận hành vi này nhưng từ chối phân loại nó là một lỗi hoặc lỗ hổng bảo mật. Microsoft tuyên bố rằng thiết kế này là có chủ ý, nhằm đảm bảo rằng “ít nhất một tài khoản người dùng luôn có khả năng đăng nhập cho dù hệ thống đã ngoại tuyến trong bao lâu.”

Hình ảnh minh họa một laptop chạy Windows 11, tượng trưng cho các thiết bị bị ảnh hưởng bởi lỗ hổng RDP mà Microsoft đã xác nhận nhưng không phân loại là lỗi.Hình ảnh minh họa một laptop chạy Windows 11, tượng trưng cho các thiết bị bị ảnh hưởng bởi lỗ hổng RDP mà Microsoft đã xác nhận nhưng không phân loại là lỗi.

Mặc dù vậy, công ty đã cập nhật tài liệu chính thức của mình, trong đó có một mục cảnh báo:

Cảnh báo
Khi người dùng thực hiện đăng nhập cục bộ, thông tin xác thực của họ được xác minh cục bộ so với bản sao được lưu trong bộ nhớ đệm trước khi được xác thực với nhà cung cấp danh tính qua mạng. Nếu việc xác minh bộ nhớ đệm thành công, người dùng sẽ có quyền truy cập vào màn hình máy tính ngay cả khi thiết bị ngoại tuyến. Tuy nhiên, nếu người dùng thay đổi mật khẩu của họ trên đám mây, trình xác minh được lưu trong bộ nhớ đệm sẽ không được cập nhật, điều này có nghĩa là họ vẫn có thể truy cập máy cục bộ bằng mật khẩu cũ của mình.

Điều đáng chú ý là Microsoft đã biết về vấn đề này ít nhất từ tháng 8 năm 2023. Tuy nhiên, khi nhận được các báo cáo về “lỗi” này vào thời điểm đó, công ty đã xem xét thiết kế và tài liệu triển khai của mình, và cuối cùng quyết định rằng việc sửa đổi mã nguồn sẽ gây ra các vấn đề tương thích. Do đó, Microsoft cho rằng việc khắc phục không xứng đáng với những rắc rối có thể phát sinh. Có vẻ như công ty này khó có thể vá lỗ hổng “tính năng” này, dù rằng người dùng thường kỳ vọng việc thay đổi mật khẩu sẽ đồng nghĩa với việc không thể sử dụng mật khẩu cũ cho cùng một quyền truy cập nữa.

Kết luận

Lỗ hổng trong Remote Desktop Protocol của Windows, nơi mật khẩu cũ vẫn có thể hoạt động sau khi thay đổi, là một rủi ro bảo mật đáng lo ngại. Mặc dù Microsoft đã xác nhận hành vi này, việc họ không phân loại đây là một lỗi và từ chối vá lỗi đặt ra câu hỏi lớn về ưu tiên bảo mật của người dùng. Để bảo vệ dữ liệu và hệ thống của mình, người dùng Windows cần hết sức cảnh giác và cập nhật thông tin thường xuyên về các biện pháp bảo mật. Hãy đảm bảo bạn luôn theo dõi các thông báo bảo mật từ Microsoft và cân nhắc các giải pháp thay thế nếu cảm thấy RDP không đáp ứng đủ yêu cầu an toàn.

Tài liệu tham khảo:

Related Posts

Leave a Comment

Offcanvas
Offcanvas