Redazione RHC : 3 Maggio 2025 20:37
Microsoft ha confermato che il protocollo RDP (Remote Desktop Protocol) consente l’accesso ai sistemi Windows anche utilizzando password già modificate o revocate. L’azienda ha chiarito che non si tratta di una vulnerabilità, ma di una scelta progettuale intenzionale, e non prevede di modificarne il comportamento.
In effetti non è una novità, ma un comportamento che a nostro avviso dovrebbe essere rivisto per evitare il caching delle credenziali by default, ma abilitarla su specifica richiesta dell’utente. Questo perché moltissimi amministratori di sistemi potrebbero non conoscere questo comportamento ed installare un’istanza senza avere consapevolezza dei rischi derivanti.
Questa nuova segnalazione arriva dal ricercatore Daniel Wade, che ha evidenziato come RDP possa accettare credenziali obsolete anche dopo un cambio password dovuto a compromissione o misure preventive. Questo comportamento, spiegano Wade e Ars Technica, mina la fiducia degli utenti nella modifica delle password come strumento di protezione, lasciando milioni di dispositivi potenzialmente esposti ad accessi non autorizzati.
CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC
Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"?
Conosci il nostro corso sul cybersecurity awareness a fumetti?
Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
La vulnerabilità deriva dal modo in cui Windows gestisce l’autenticazione per le sessioni RDP associate ad account Microsoft o Azure. Quando un utente accede con un account di questo tipo, Windows verifica la password online e ne memorizza localmente una versione protetta crittograficamente.
Per i successivi accessi RDP, il sistema verifica la password inserita con questa cache locale anziché riconvalidarla online. Se la password corrisponde a una credenziale precedentemente valida e memorizzata nella cache, anche se modificata o revocata, concede l’accesso.
Ciò significa che, anche dopo aver modificato una password nel cloud, la vecchia password rimane valida per RDP a tempo indeterminato. In alcuni casi, più password precedenti potrebbero funzionare, mentre la più recente no.
I professionisti della sicurezza hanno espresso preoccupazione per le implicazioni. Will Dormann, analista senior delle vulnerabilità presso Analygence, ha osservato: “Non ha senso dal punto di vista della sicurezza. Se fossi un amministratore di sistema, mi aspetterei che nel momento in cui cambio la password di un account, le vecchie credenziali di quell’account non possano più essere utilizzate da nessuna parte. Ma non è così”.
Secondo quanto riportato nel rapporto, la falla aggira efficacemente la verifica cloud, l’autenticazione multifattore e i criteri di accesso condizionale, creando una backdoor persistente per gli aggressori che hanno ottenuto vecchie credenziali.
Nonostante i rischi, Microsoft si è rifiutata di classificare il comportamento come bug o vulnerabilità. L’azienda afferma che il design garantisce che almeno un account utente possa sempre accedere, anche se il sistema è rimasto offline per un lungo periodo.
Microsoft ha aggiornato la propria documentazione per avvisare gli utenti, ma non ha fornito indicazioni chiare su come mitigare il rischio, oltre a suggerire di configurare RDP per l’autenticazione solo con credenziali archiviate localmente.
Per ora, gli esperti raccomandano alle organizzazioni di rivedere le proprie configurazioni RDP e di valutare la possibilità di limitare l’accesso remoto o di imporre l’autenticazione locale per ridurre l’esposizione.
RedazioneSecondo quanto riportato dai media, le autorità statunitensi starebbero segretamente inserendo dispositivi di localizzazione in lotti di chip che potrebbero essere dirottati illegalmente verso la...
Una nuova campagna malware per Android sta prendendo di mira i clienti bancari in Brasile, India e Sud-est asiatico, combinando frodi contactless NFC, intercettazione delle chiamate e sfruttamento del...
Google sta testando una nuova funzionalità per migliorare la privacy nella modalità di navigazione in incognito di Chrome su Windows: il blocco degli script in incognito (PrivacySandboxFinge...
Sembra che gli Stati Uniti abbiano già seriamente preso in considerazione il concetto di guerra autonoma. Il jet da combattimento autonomo della DARPA , risulta in grado di combattere senza pilot...
CrowdStrike ha pubblicato il suo Global Threat Report 2025, che documenta un balzo in avanti nel comportamento dei criminali informatici e dei gruppi statali. Gli esperti definiscono il 2024 “l...
