Trong lịch sử phát triển của mình, hệ điều hành Windows đã không ít lần gặp phải những vấn đề kỳ lạ hay các lỗ hổng bảo mật đáng lo ngại. Mới đây, một vấn đề nghiêm trọng khác liên quan đến bảo mật Windows RDP (Remote Desktop Protocol) đã được báo cáo, phơi bày một rủi ro đáng kể cho người dùng, nhưng điều đáng ngạc nhiên là Microsoft lại không xem đây là một lỗi cần khắc phục. Vấn đề chính là khả năng truy cập từ xa vào máy tính Windows bằng mật khẩu RDP cũ ngay cả khi mật khẩu đã được thay đổi.
Windows RDP: Tiện Ích Hay Nguy Cơ Bảo Mật Tiềm Ẩn?
Windows Remote Desktop Protocol (RDP) là một giao thức độc quyền của Microsoft, cho phép người dùng kết nối và truy cập máy tính Windows từ xa. Đây là một công cụ cực kỳ hữu ích, đặc biệt với các quản trị viên IT trong việc hỗ trợ người dùng hoặc quản lý hệ thống. Tuy nhiên, nếu bị kẻ xấu lợi dụng, RDP có thể trở thành một cánh cửa nguy hiểm cho những hành vi truy cập trái phép.
Các công cụ truy cập từ xa (Remote Desktop) trên Windows, liên quan đến lỗ hổng RDP.
Nhà nghiên cứu bảo mật Daniel Wade (qua Ars Technica) đã phát hiện ra một lỗ hổng Windows RDP đặc biệt nghiêm trọng: giao thức này cho phép thông tin đăng nhập đã bị thu hồi (mật khẩu cũ) vẫn có thể được sử dụng trong một số trường hợp nhất định. Điều này có nghĩa là ngay cả khi bạn đã đặt lại mật khẩu cho tài khoản Windows RDP, kẻ tấn công vẫn có thể kết nối từ xa đến máy chủ PC bằng mật khẩu trước đó.
Vấn đề này xảy ra khi một máy tính Windows đăng nhập vào tài khoản Microsoft hoặc Azure được cấu hình để sử dụng RDP. Người dùng được xác thực có thể truy cập PC từ xa bằng mật khẩu riêng, được xác thực cục bộ hoặc thông qua tài khoản Microsoft/Azure. Tuy nhiên, Daniel Wade phát hiện rằng ngay cả khi mật khẩu tài khoản trực tuyến này được đặt lại, mật khẩu cũ vẫn có thể được sử dụng để truy cập.
Will Dormann, một nhà phân tích lỗ hổng khác, đã nhận định rằng: “Điều này không có ý nghĩa từ góc độ bảo mật. Nếu tôi là quản trị viên hệ thống, tôi sẽ mong đợi rằng ngay khi tôi thay đổi mật khẩu của một tài khoản, thì thông tin đăng nhập cũ của tài khoản đó sẽ không thể được sử dụng ở bất cứ đâu. Nhưng đây lại không phải là trường hợp xảy ra.”
Wade cũng nhấn mạnh rằng các dịch vụ bảo mật như Defender, Azure và Entra ID không hề gắn cờ hành vi này. Hơn nữa, không có dấu hiệu rõ ràng nào cho thấy hoạt động này đang diễn ra, và tài liệu của Microsoft về chủ đề này cũng khá ít ỏi.
Microsoft: “Đó Là Tính Năng, Không Phải Lỗi!”
Đáp lại báo cáo của Daniel Wade, Trung tâm Phản ứng An ninh Microsoft (MSRC) đã thừa nhận hành vi này nhưng từ chối phân loại nó là một lỗi hoặc lỗ hổng. Họ khẳng định rằng đây là một thiết kế có chủ ý, nhằm đảm bảo “ít nhất một tài khoản người dùng luôn có khả năng đăng nhập cho dù hệ thống đã ngoại tuyến trong bao lâu.” Dù vậy, công ty đã cập nhật tài liệu chính thức của mình, nêu rõ:
Cảnh báo
Khi người dùng thực hiện đăng nhập cục bộ, thông tin đăng nhập của họ được xác minh cục bộ dựa trên bản sao đã lưu vào bộ đệm trước khi được xác thực với nhà cung cấp danh tính qua mạng. Nếu xác minh bộ đệm thành công, người dùng sẽ có quyền truy cập vào màn hình nền ngay cả khi thiết bị ngoại tuyến. Tuy nhiên, nếu người dùng thay đổi mật khẩu của họ trên đám mây, trình xác minh bộ đệm sẽ không được cập nhật, điều này có nghĩa là họ vẫn có thể truy cập máy cục bộ của mình bằng mật khẩu cũ.
Máy tính xách tay chạy Windows 11, minh họa hệ thống có thể bị ảnh hưởng bởi lỗ hổng RDP.
Điều đáng chú ý là Microsoft đã biết về vấn đề này từ ít nhất tháng 8 năm 2023. Tuy nhiên, khi nhận được các báo cáo về lỗi này vào thời điểm đó, họ đã xem xét thiết kế và tài liệu triển khai, và cuối cùng quyết định rằng việc sửa đổi mã sẽ gây ra các vấn đề tương thích. Do đó, có vẻ như công ty Redmond sẽ không vá lỗ hổng này, mặc dù lẽ ra việc thay đổi mật khẩu của một dịch vụ phải đồng nghĩa với việc mật khẩu cũ không còn được sử dụng để truy cập nữa.
Kết luận
Lỗ hổng bảo mật trong Windows RDP, cho phép mật khẩu cũ vẫn duy trì hiệu lực sau khi đổi, là một rủi ro đáng kể mà người dùng Windows và các quản trị viên hệ thống cần lưu tâm. Dù Microsoft coi đây là một tính năng có chủ ý, sự thật là nó tạo ra một điểm yếu tiềm tàng cho việc truy cập trái phép. Cộng đồng người dùng cần hết sức cảnh giác và áp dụng các biện pháp bảo mật bổ sung để tự bảo vệ mình. Hãy theo dõi khothuthuat.net để cập nhật thêm những thông tin và cảnh báo bảo mật mới nhất!
