Advertentie
Het is geen bug, maar een feature, bevestigt Microsoft aan bezorgde onderzoekers.
Het propriëtaire protocol dat Microsoft ontwikkelde om op afstand verbinding te maken met Windows-machines bevat een hardnekkige beveiligingsfout. Toch heeft Microsoft aangegeven geen plannen te hebben om het probleem op te lossen, omdat een fix de compatibiliteit met veel toepassingen zou verbreken.
Onafhankelijke onderzoekers hebben een grote kwetsbaarheid in Microsofts Remote Desktop Protocol (RDP) ontdekt — of beter gezegd: herontdekt. RDP, voorheen bekend als Terminal Services, blijkt zo ontworpen te zijn dat het een eerder gebruikte wachtwoord blijft accepteren bij externe verbindingen, zelfs als dat wachtwoord intussen is ingetrokken door een systeembeheerder of betrokken was bij een beveiligingslek.
RDP bestaat al sinds de tijd van Windows NT 4.0, een vroege 32-bitversie van het besturingssysteem die in 1998 verscheen. Sinds Windows XP is in elke professionele of serverversie van Windows standaard een RDP-client aanwezig — officieel bekend als Remote Desktop Connection. Volgens de onderzoekers betekent dit dat nagenoeg elke Windows-versie sinds het tijdperk van 56K-modems vatbaar is voor deze opnieuw aan het licht gekomen kwetsbaarheid.
Beveiligingsanalist Daniel Wade meldde het probleem eerder deze maand bij Microsoft. De fout druist in tegen fundamentele principes van beveiliging (opsec). Een gewijzigd wachtwoord zou immers onmiddellijk de toegang tot een systeem moeten blokkeren. “Mensen vertrouwen erop dat het veranderen van hun wachtwoord ongeautoriseerde toegang afsnijdt,” aldus Wade.
Windows Remote Desktop, wereldwijd een van de meeste gebruikte tools om vanop afstand met andere systemen te verbinden.
De onderzoekers ontdekten dat RDP wachtwoorden blijft accepteren die eerder al eens zijn gebruikt en lokaal in de cache zijn opgeslagen. Windows bewaart deze gevalideerde wachtwoorden op de harde schijf in een cryptografisch beveiligde locatie. Zelfs op nieuwe systemen kan een oud wachtwoord nog steeds toegang geven tot andere apparaten.
Opvallend is dat Microsofts eigen cloud- en beveiligingsdiensten, waaronder Entra ID, Azure en Defender, geen enkel alarm slaan wanneer zo’n verouderd wachtwoord wordt gebruikt. Nieuwere wachtwoorden kunnen soms zelfs worden genegeerd, terwijl de oude nog werken.
Microsoft: het werkt zoals bedoeld
Microsoft communiceert nauwelijks over dit opmerkelijke gedrag van RDP. Volgens de onderzoekers lopen miljoenen gebruikers — thuis, in kleine bedrijven of in grote organisaties — hierdoor risico. Toen Microsoft gevraagd werd om het probleem op te lossen, bevestigde het bedrijf dat RDP “functioneert zoals ontworpen”.
Volgens Microsoft is dit gedrag een bewuste ontwerpkeuze, bedoeld om ervoor te zorgen dat er altijd minstens één gebruikersaccount is dat kan inloggen, zelfs als een systeem lange tijd offline is geweest.
Microsoft werd al in augustus 2023 gewaarschuwd over deze backdoor door andere onderzoekers. Daardoor komt de nieuwe melding niet meer in aanmerking voor een bug bounty-beloning. Microsoft-ingenieurs zouden geprobeerd hebben het gedrag aan te passen, maar staakten die poging omdat een wijziging de compatibiliteit met functies zou schaden waarop veel bestaande applicaties nog steeds vertrouwen.