Home windows RDP le permite iniciar sesión con contraseñas revocadas. Microsoft está bien con eso.
La capacidad de usar una contraseña revocada para iniciar sesión a través de RDP ocurre cuando una máquina de Home windows que se inicia sesión con una cuenta de Microsoft o Azure está configurado para habilitar el acceso remoto de escritorio. En ese caso, los usuarios pueden iniciar sesión en RDP con una contraseña dedicada validada contra una credencial almacenada localmente. Alternativamente, los usuarios pueden iniciar sesión utilizando las credenciales para la cuenta en línea que se utilizó para iniciar sesión en la máquina.
Una captura de pantalla de una ventana de configuración RDP que muestra una cuenta de Microsoft (para hotmail) tiene acceso remoto.
Sin embargo, incluso después de que los usuarios cambien la contraseña de su cuenta, sigue siendo válido para los inicios de sesión de RDP indefinidamente. En algunos casos, informó Wade, múltiples contraseñas más antiguas funcionarán, mientras que las más nuevas no lo harán. El resultado: acceso persistente RDP que omite la verificación de la nube, la autenticación multifactorial y las políticas de acceso condicional.
Wade y otro experto en seguridad de Home windows dijeron que el comportamiento poco conocido podría resultar costoso en escenarios en los que se ha comprometido una cuenta de Microsoft o Azure, por ejemplo, cuando las contraseñas para ellos se han filtrado públicamente. En tal caso, el primer curso de acción es cambiar la contraseña para evitar que un adversario lo use para acceder a recursos confidenciales. Si bien el cambio de contraseña evita que el adversario se inicie sesión en la cuenta de Microsoft o Azure, la contraseña antigua le dará acceso a un adversario a la máquina del usuario a través de RDP indefinidamente.
«Esto crea una puerta trasera silenciosa y remota en cualquier sistema donde la contraseña haya sido almacenada en caché», escribió Wade en su informe. «Incluso si el atacante nunca tuvo acceso a ese sistema, Home windows aún confiará en la contraseña».
Will Dormann, analista de vulnerabilidades de la firma de seguridad Analgence, estuvo de acuerdo.
«No tiene sentido desde una perspectiva de seguridad», escribió en una entrevista en línea. «Si soy un sysadmin, esperaría que en el momento en que cambie la contraseña de una cuenta, entonces las credenciales antiguas de esa cuenta no se pueden usar en ningún lado. Pero este no es el caso».
El almacenamiento en caché de la credencial es un problema
El mecanismo que hace que todo esto sea posible es el almacenamiento en caché de la credencial en el disco duro de la máquina native. La primera vez que un usuario inicia sesión con las credenciales de la cuenta de Microsoft o Azure, RDP confirmará la validez de la contraseña en línea. Home windows luego almacena la credencial en un formato criptográfico asegurado en la máquina native. A partir de entonces, Home windows validará cualquier contraseña ingresada durante un inicio de sesión de RDP comparándola con la credencial almacenada localmente, sin una búsqueda en línea. Con eso, la contraseña revocada aún dará acceso remoto a través de RDP.
