Windows RDP გაუქმებული პაროლებით ავტორიზაციის საშუალებას იძლევა. Microsoft-ისთვის ეს პრობლემა არ არის

მკვლევრები აცხადებენ, რომ ეს ქცევა მუდმივ ბექდორს უტოლდება.

გაუგებარი ამბების განყოფილებიდან: Microsoft-ი აცხადებს, რომ არ გეგმავს Windows-ში დისტანციური ავტორიზაციის პროტოკოლის შეცვლას, რომელიც ადამიანებს საშუალებას აძლევს, მანქანებზე იმ პაროლების გამოყენებით შევიდნენ, რომლებიც უკვე გაუქმებულია.

პაროლის შეცვლა ერთ-ერთი პირველი ნაბიჯია, რომელიც ადამიანებმა უნდა გადადგან იმ შემთხვევაში, თუ პაროლი გაჟონავს ან ანგარიში კომპრომეტირდება. ადამიანები ელიან, რომ ამ ნაბიჯის შემდეგ, ვერცერთი მოწყობილობა, რომელიც ამ პაროლს ეყრდნობოდა, ხელმისაწვდომი აღარ იქნება.

თუმცა, დისტანციური დესკტოპის პროტოკოლი (RDP) — Windows-ში ჩაშენებული მექანიზმი, რომელიც დისტანციურ მომხმარებელს მანქანაზე ავტორიზაციისა და მისი მართვის საშუალებას აძლევს — ბევრ შემთხვევაში აგრძელებს პაროლის ნდობას მისი შეცვლის შემდეგაც კი. Microsoft-ი აცხადებს, რომ ეს ქცევა „დიზაინის გადაწყვეტილებაა“, რათა უზრუნველყოს, რომ მომხმარებლები არასდროს დაიბლოკონ.

დამოუკიდებელმა უსაფრთხოების მკვლევარმა, დენიელ უეიდმა, ამ ქცევის შესახებ ამ თვის დასაწყისში Microsoft-ის უსაფრთხოების რეაგირების ცენტრს შეატყობინა. მან გააფრთხილა, რომ ეს დიზაინი ეწინააღმდეგება თითქმის საყოველთაო მოლოდინს, რომ პაროლის შეცვლის შემდეგ, ის ვეღარ უზრუნველყოფს წვდომას.

„ეს უბრალოდ ხარვეზი არ არის. ეს ნდობის რღვევაა,“ — დაწერა უეიდმა თავის ანგარიშში. „ადამიანები ენდობიან, რომ პაროლის შეცვლა არაავტორიზებულ წვდომას შეწყვეტს.“ მან განაგრძო:

ძველი ავტორიზაციის მონაცემები აგრძელებს მუშაობას RDP-სთვის — თუნდაც სრულიად ახალი მანქანებიდან. Defender-ი, Entra ID და Azure არანაირ განგაშის სიგნალს არ იძლევიან. საბოლოო მომხმარებლებისთვის საკითხის აღმოჩენის ან გამოსწორების მკაფიო გზა არ არსებობს. Microsoft-ის არცერთი დოკუმენტაცია ამ სცენარს პირდაპირ არ განიხილავს. შესაძლოა, ახალი პაროლებიც კი იგნორირებული იყოს, სანამ ძველი პაროლები მუშაობას განაგრძობს.

საპასუხოდ, Microsoft-მა განაცხადა, რომ ეს ქცევა არ აკმაყოფილებს უსაფრთხოების მოწყვლადობის დეფინიციას და კომპანიის ინჟინრები მის შეცვლას არ გეგმავენ.

გაუქმებული პაროლის RDP-ით ავტორიზაციისთვის გამოყენების შესაძლებლობა მაშინ ჩნდება, როდესაც Windows-ის მანქანა, რომელზეც Microsoft-ის ან Azure-ის ანგარიშით არის შესული, დისტანციური დესკტოპის წვდომისთვისაა კონფიგურირებული.

უეიდმა და Windows-ის უსაფრთხოების სხვა ექსპერტმა განაცხადეს, რომ ეს ნაკლებად ცნობილი ქცევა, შესაძლოა, ძვირად დაუჯდეთ იმ სცენარებში, როდესაც Microsoft-ის ან Azure-ის ანგარიში კომპრომეტირებულია. ასეთ შემთხვევაში, პირველი მოქმედება პაროლის შეცვლაა. მიუხედავად იმისა, რომ პაროლის შეცვლა ხელს უშლის მოწინააღმდეგეს Microsoft-ის ან Azure-ის ანგარიშში შესვლას, ძველი პაროლი მოწინააღმდეგეს მომხმარებლის მანქანაზე RDP-ით უვადო წვდომას მისცემს.

„ეს ქმნის ჩუმ, დისტანციურ ბექდორს ნებისმიერ სისტემაში, სადაც პაროლი ოდესმე კეშირებული იყო,“ — დაწერა უეიდმა. „მაშინაც კი, თუ თავდამსხმელს არასდროს ჰქონია წვდომა ამ სისტემაზე, Windows-ი მაინც ენდობა პაროლს.“

ავტორიზაციის მონაცემების კეშირება პრობლემაა

მექანიზმი, რომელიც ამ ყველაფერს შესაძლებელს ხდის, არის ავტორიზაციის მონაცემების კეშირება ლოკალური მანქანის მყარ დისკზე. როდესაც მომხმარებელი პირველად შედის Microsoft-ის ან Azure-ის ანგარიშით, RDP პაროლის ვალიდურობას ონლაინ ამოწმებს. შემდეგ Windows-ი ამ მონაცემს კრიპტოგრაფიულად დაცული ფორმატით ლოკალურ მანქანაზე ინახავს. ამის შემდეგ, Windows-ი ამოწმებს RDP-ავტორიზაციისას შეყვანილ ნებისმიერ პაროლს ლოკალურად შენახულ მონაცემთან შედარებით, ონლაინ გადამოწმების გარეშე. ამის გამო, გაუქმებული პაროლი კვლავ იძლევა დისტანციურ წვდომას RDP-ით.

უეიდის ანგარიშზე საპასუხოდ, Microsoft-მა განაცხადა, რომ მან განაახლა ონლაინ დოკუმენტაცია, რათა მომხმარებლები უკეთ ინფორმირებულნი ყოფილიყვნენ. განახლება ამატებს შემდეგ წინადადებებს:

ყურადღება: როდესაც მომხმარებელი ლოკალურ ავტორიზაციას ასრულებს, მისი მონაცემები ლოკალურად მოწმდება კეშირებულ ასლთან, სანამ ქსელში იდენტობის პროვაიდერთან ავთენტიფიკაციას გაივლის... თუ მომხმარებელი თავის პაროლს ღრუბელში შეცვლის, კეშირებული ვერიფიკატორი არ განახლდება, რაც ნიშნავს, რომ მას კვლავ შეუძლია თავის ლოკალურ მანქანაზე ძველი პაროლით წვდომა.

უსაფრთხოების ექსპერტის, უილ დორმანის, თქმით, განახლების შემჩნევა ადვილი არ არის და ის საკმარისად მკაფიო არ არის. ის ასევე არ ურჩევს მომხმარებლებს, რა ნაბიჯები უნდა გადადგან.

Microsoft-მა უეიდს უთხრა, რომ ის პირველი არ იყო, ვინც ამ ქცევის შესახებ, როგორც უსაფრთხოების მოწყვლადობაზე, შეატყობინა, რაც მიუთითებს, რომ კომპანიის უსაფრთხოების ინჟინრებმა ამის შესახებ თითქმის ორი წელია, იციან.

ITNEWS-ის მეგობარი ვებ-გვერდია ITJOBS.GE. ITJOBS.GE-ზე ორგანიზაციებს და ფიზიკურ პირებს, აქვთ საშუალება განათავსონ როგორც ვაკანსები, ტრენინგები და ივენთები ასევე კონკრეტული Tech დავალებები, რისთვისაც ეძებენ დეველოპერებს, დიზაინერებს, სეო სპეციალისტებს და ა.შ. ITJOBS.GE - იპოვე დასაქმების საუკეთესო შესაძლებლობები ან გამოაქვეყნე ვაკანსია / დავალება და მიაწვდინე ხმა სასურველ აუდიტორიას.