Zní to absurdně, ale je to pravda. Ve světě kybernetické bezpečnosti, kde se změna hesla považuje za první obrannou linii proti útoku, umožňuje Microsoft Windows stále přihlašování přes Remote Desktop Protocol (RDP) pomocí původního – dnes už zrušeného – hesla. A co víc, podle vyjádření firmy to není chyba. Je to vlastnost.

Staré heslo? Stále funkční přístup

RDP je nástroj, který umožňuje vzdálené ovládání počítače, jako by uživatel seděl přímo u něj. Běžně se používá v domácích kancelářích, malých firmách nebo hybridním prostředí. Jenže podle bezpečnostního výzkumníka Daniela Wadea RDP ve Windows stále akceptuje původní heslo uživatele i poté, co došlo ke změně přístupových údajů v cloudovém účtu Microsoft nebo Azure.

V praxi to znamená, že i když si uživatel změní heslo kvůli podezření na únik nebo kompromitaci, někdo s přístupem ke starému heslu se do počítače dostane bez problémů. Wade upozorňuje, že:

• Staré přihlašovací údaje fungují dál, a to i z nových zařízení.
• Bezpečnostní systémy jako Microsoft Defender, Entra ID nebo Azure nic nezachytí.
• Neexistuje jednoduchý způsob, jak problém detekovat nebo opravit.
• Dokumentace Microsoftu se tomu dlouho vůbec nevěnovala.
• V některých případech funguje víc starých hesel, zatímco to nové ne.

Microsoft: "Není to chyba, ale design"

Reakce Microsoftu? Jde o záměr. Firma vysvětluje, že cílem tohoto chování je „zajistit, že se uživatel nikdy nezamkne z vlastního systému“, především pokud byl dlouho offline. Proto se nejedná o bezpečnostní zranitelnost – a nebude to opraveno.

Proč? Když se uživatel poprvé přihlásí do systému s Microsoft nebo Azure účtem, Windows si uloží ověřené přihlašovací údaje do cache. Tyto údaje se pak používají pro budoucí RDP přihlášení bez nutnosti ověření přes cloud. A právě tato lokálně uložená cache způsobuje, že změna hesla v cloudu se vůbec neprojeví.

Podle experta Willa Dormanna z bezpečnostní firmy Analygence je to nelogické: „Pokud změním heslo, očekávám, že staré přestane fungovat. Tohle je pro správce systémů noční můra.“

Tichá zadní vrátka do systému

Bezpečnostní riziko je obrovské. V případě úniku hesla útočník stále získá přístup přes RDP – i když bylo heslo změněno. Nemusí přitom nikdy předtím používat konkrétní počítač. Stačí, že se daný uživatel někdy přihlásil s daným účtem – a cache zůstala uložená.

Zdroj: Shutterstock

Daniel Wade to popsal jako „tichá zadní vrátka“, která ohrožují miliony uživatelů. Týká se to nejen domácností, ale i firemních stanic, kde se RDP běžně používá jako nástroj pro vzdálenou práci.

Co říká dokumentace? Skoro nic

Microsoft sice aktualizoval svou dokumentaci, aby popsal chování RDP s cache, ale jde o poznámku schovanou mezi řádky. Neobsahuje žádné jasné pokyny, jak problém řešit. Dormann k tomu poznamenal: „Ani zkušený správce si této změny nevšimne. A běžní uživatelé už vůbec ne.“

Jediné možné řešení? Zakázat RDP nebo jej nastavit tak, aby používal pouze lokálně vytvořené účty bez napojení na cloud. Tím se ale ztrácí pohodlí a propojení s účty Microsoft, což je přesně to, co Microsoft propaguje jako výhodu.

Microsoft to ví. Už dva roky

Wade se od firmy dozvěděl, že rozhodně není první, kdo na problém upozornil. První hlášení údajně přišlo už v srpnu 2023. Společnost přesto odmítla problém klasifikovat jako bezpečnostní zranitelnost a neudělila žádnou odměnu v rámci bug bounty programu.

Důvod? Podle Microsoftu by změna kódu narušila kompatibilitu s aplikacemi, které tuto funkci využívají. Tedy s aplikacemi, které předpokládají, že heslo může zůstat funkční i po změně.