Спецпроекты

ПО Софт Безопасность Пользователю Стратегия безопасности Техника

Microsoft отказалась устранять дыру в сверхважной «фишке» Windows. Если ее исправить, все сломается

Протокол удаленного рабочего стола Windows содержит уязвимость входа в систему, которую Microsoft отказывается исправлять. Она уверяет, что без нее протокол вовсе перестанет работать. Безопасность пользователей отходит на второй план.

Зачем чинить, если работает

Корпорация Microsoft признала факт наличия уязвимости в протоколе рабочего стола Windows (Remote Desktop Protocol, RDP), но отказалась ее устранять. Как пишет TechSpot, она не видит в ней проблему – наоборот, Microsoft уверена, что это и не «дыра» вовсе, а особенность протокола, без которой он перестанет корректно работать.

Уязвимость заключается в том, что Windows позволяет подключаться к удаленным компьютерам с использованием устаревших паролей, находящихся в кэше. Они будут работать, даже если ранее были заменены на новые.

Иными словами, если киберпреступник получил пароль удаленного доступа к компьютеру посредством RDP, то даже после смены пароля на новый у него по-прежнему будет возможность подключения к этому ПК.

Миллионы пользователей могут стать жертвами взлома благодаря упертости Microsoft

Именно этот недочет в RDP Microsoft не собирается устранять, не видя в нем никакой проблемы. Microsoft заявила, что не планирует исправлять эту проблему, поскольку это нарушит совместимость со многими приложениями.

Случайная, но старая находка

Проблему с кэшированием паролей выявили независимые эксперты. Технология RDP восходит к эпохе Windows NT 4.0, ранней 32-разрядной операционной системы, выпущенной в 1998 г. Начиная с Windows XP, каждая профессиональная или серверная версия Windows включала клиент RDP, официально известный как Remote Desktop Connection.

По словам обнаруживших уязвимость ИБ-специалистов, каждая версия Windows со времен аналоговых модемов 56 Кбит/с подвержена этой уязвимости. Аналитик Дэниел Уэйд (Daniel Wade) сообщил об этой проблеме в Microsoft в начале мая 2025 г. Уязвимость, по его мнению, нарушает общепризнанные методы операционной безопасности (opsec) — и даже больше. Когда пароль меняется, он больше не должен предоставлять доступ к удаленной системе. «Люди верят, что смена пароля отсечет несанкционированный доступ», – сказал Уэйд.

Тише воды, ниже травы

Проблема, судя по всему, очень глубоко проникла в программную экосистему Microsoft. Мало того, что сам RDP-протокол содержит столь огромную дыру, так еще и фирменный клиент не уведомляет пользователей о том, что старые пароли для удаленного доступа будут продолжать действовать даже после их замены.

Онлайн-платформы управления и безопасности Microsoft, включая Entra ID, Azure и Defender, тоже не на стороне пользователей в этом вопросе. Они не подают никаких сигналов тревоги.

Microsoft предоставила конечным пользователям настолько мало информации об этой весьма интересной особенности протокола RDP, что миллионы пользователей в итоге находятся под угрозой взлома и потери данных. Исследователи пришли к выводу, что проблема касается как обычных пользователей, так и целых компаний, притом вне зависимости от их размера.

Где ошибка? Нет ошибки

Когда ИБ-специалисты обратились в Microsoft с просьбой решить проблему с возможностью использования старых паролей вместо новых при удаленном подключении по RDP, она заявила, что ее протокол работает в точности так, как и было задумано.

По данным Microsoft, такое поведение является проектным решением, призванным «гарантировать, что по крайней мере одна учетная запись пользователя всегда будет иметь возможность войти в систему, независимо от того, как долго система находится в автономном режиме» (ensure that at least one user account always has the ability to log in no matter how long a system has been offline).

Важно отметить, что компания совершенно точно осведомлена об этой проблеме на протяжении нескольких лет. В августе 2023 г. ей поступало уведомление о ней, пишет TechSpot, но и тогда она никак не отреагировала.

Существует отличная от нуля вероятность, что Microsoft столь рьяно защищает «дыру» в своем протоколе лишь потому, что не в силах ее устранить. По данным TechSpot, ее инженеры ранее предпринимали попытки устранения бэкдора, но отказались от этой затеи. Якобы они сдались потому, что предложенные ими изменения могли привести к тому, что связанные с протоколом RDP приложения могли начать работать некорректно.

Геннадий Ефремов

Короткая ссылка