Redazione RHC : 3 Maggio 2025 20:37
Microsoft ha confermato che il protocollo RDP (Remote Desktop Protocol) consente l’accesso ai sistemi Windows anche utilizzando password già modificate o revocate. L’azienda ha chiarito che non si tratta di una vulnerabilità, ma di una scelta progettuale intenzionale, e non prevede di modificarne il comportamento.
In effetti non è una novità, ma un comportamento che a nostro avviso dovrebbe essere rivisto per evitare il caching delle credenziali by default, ma abilitarla su specifica richiesta dell’utente. Questo perché moltissimi amministratori di sistemi potrebbero non conoscere questo comportamento ed installare un’istanza senza avere consapevolezza dei rischi derivanti.
Questa nuova segnalazione arriva dal ricercatore Daniel Wade, che ha evidenziato come RDP possa accettare credenziali obsolete anche dopo un cambio password dovuto a compromissione o misure preventive. Questo comportamento, spiegano Wade e Ars Technica, mina la fiducia degli utenti nella modifica delle password come strumento di protezione, lasciando milioni di dispositivi potenzialmente esposti ad accessi non autorizzati.
Sponsorizza la prossima Red Hot Cyber Conference!
Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un paccheto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Supporta RHC attraverso:
L'acquisto del fumetto sul Cybersecurity Awareness
Ascoltando i nostri Podcast
Seguendo RHC su WhatsApp
Seguendo RHC su Telegram
Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
La vulnerabilità deriva dal modo in cui Windows gestisce l’autenticazione per le sessioni RDP associate ad account Microsoft o Azure. Quando un utente accede con un account di questo tipo, Windows verifica la password online e ne memorizza localmente una versione protetta crittograficamente.
Per i successivi accessi RDP, il sistema verifica la password inserita con questa cache locale anziché riconvalidarla online. Se la password corrisponde a una credenziale precedentemente valida e memorizzata nella cache, anche se modificata o revocata, concede l’accesso.
Ciò significa che, anche dopo aver modificato una password nel cloud, la vecchia password rimane valida per RDP a tempo indeterminato. In alcuni casi, più password precedenti potrebbero funzionare, mentre la più recente no.
I professionisti della sicurezza hanno espresso preoccupazione per le implicazioni. Will Dormann, analista senior delle vulnerabilità presso Analygence, ha osservato: “Non ha senso dal punto di vista della sicurezza. Se fossi un amministratore di sistema, mi aspetterei che nel momento in cui cambio la password di un account, le vecchie credenziali di quell’account non possano più essere utilizzate da nessuna parte. Ma non è così”.
Secondo quanto riportato nel rapporto, la falla aggira efficacemente la verifica cloud, l’autenticazione multifattore e i criteri di accesso condizionale, creando una backdoor persistente per gli aggressori che hanno ottenuto vecchie credenziali.
Nonostante i rischi, Microsoft si è rifiutata di classificare il comportamento come bug o vulnerabilità. L’azienda afferma che il design garantisce che almeno un account utente possa sempre accedere, anche se il sistema è rimasto offline per un lungo periodo.
Microsoft ha aggiornato la propria documentazione per avvisare gli utenti, ma non ha fornito indicazioni chiare su come mitigare il rischio, oltre a suggerire di configurare RDP per l’autenticazione solo con credenziali archiviate localmente.
Per ora, gli esperti raccomandano alle organizzazioni di rivedere le proprie configurazioni RDP e di valutare la possibilità di limitare l’accesso remoto o di imporre l’autenticazione locale per ridurre l’esposizione.
RedazioneI macro movimenti politici post-covid, comprendendo i conflitti in essere, hanno smosso una parte predominante di stati verso cambi di obbiettivi politici sul medio/lungo termine. Chiaramente è stato...
Come abbiamo riportato questa mattina, diversi cavi sottomarini nel Mar Rosso sono stati recisi, provocando ritardi nell’accesso a Internet e interruzioni dei servizi in Asia e Medio Oriente. Micros...
La Commissione Europea ha inflitto a Google una multa di 2,95 miliardi di euro, per abuso di posizione dominante nel mercato della pubblicità digitale. L’autorità di regolamentazione ha affermato ...
La cultura hacker è nata grazie all’informatico Richard Greenblatt e al matematico Bill Gosper del Massachusetts Institute of Technology (MIT). Tutto è iniziato nel famoso Tech Model Railroad Club...
Sette italiani su dieci hanno il proprio numero di telefono incluso in questa banca dati. Ma cosa significa attualmente disporre di un tale quantitativo di numeri telefonici concentrati all’interno ...
