Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Hai cambiato la password? Tranquillo, RDP se ne frega! La Scoperta Shock su Windows

Redazione RHC : 3 Maggio 2025 20:37

Microsoft ha confermato che il protocollo RDP (Remote Desktop Protocol) consente l’accesso ai sistemi Windows anche utilizzando password già modificate o revocate. L’azienda ha chiarito che non si tratta di una vulnerabilità, ma di una scelta progettuale intenzionale, e non prevede di modificarne il comportamento.

In effetti non è una novità, ma un comportamento che a nostro avviso dovrebbe essere rivisto per evitare il caching delle credenziali by default, ma abilitarla su specifica richiesta dell’utente. Questo perché moltissimi amministratori di sistemi potrebbero non conoscere questo comportamento ed installare un’istanza senza avere consapevolezza dei rischi derivanti.

Questa nuova segnalazione arriva dal ricercatore Daniel Wade, che ha evidenziato come RDP possa accettare credenziali obsolete anche dopo un cambio password dovuto a compromissione o misure preventive. Questo comportamento, spiegano Wade e Ars Technica, mina la fiducia degli utenti nella modifica delle password come strumento di protezione, lasciando milioni di dispositivi potenzialmente esposti ad accessi non autorizzati.

Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. 
Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
 Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. 
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

La vulnerabilità deriva dal modo in cui Windows gestisce l’autenticazione per le sessioni RDP associate ad account Microsoft o Azure. Quando un utente accede con un account di questo tipo, Windows verifica la password online e ne memorizza localmente una versione protetta crittograficamente.

Per i successivi accessi RDP, il sistema verifica la password inserita con questa cache locale anziché riconvalidarla online. Se la password corrisponde a una credenziale precedentemente valida e memorizzata nella cache, anche se modificata o revocata, concede l’accesso.

Ciò significa che, anche dopo aver modificato una password nel cloud, la vecchia password rimane valida per RDP a tempo indeterminato. In alcuni casi, più password precedenti potrebbero funzionare, mentre la più recente no.

I professionisti della sicurezza hanno espresso preoccupazione per le implicazioni. Will Dormann, analista senior delle vulnerabilità presso Analygence, ha osservato: “Non ha senso dal punto di vista della sicurezza. Se fossi un amministratore di sistema, mi aspetterei che nel momento in cui cambio la password di un account, le vecchie credenziali di quell’account non possano più essere utilizzate da nessuna parte. Ma non è così”.

Secondo quanto riportato nel rapporto, la falla aggira efficacemente la verifica cloud, l’autenticazione multifattore e i criteri di accesso condizionale, creando una backdoor persistente per gli aggressori che hanno ottenuto vecchie credenziali.

Nonostante i rischi, Microsoft si è rifiutata di classificare il comportamento come bug o vulnerabilità. L’azienda afferma che il design garantisce che almeno un account utente possa sempre accedere, anche se il sistema è rimasto offline per un lungo periodo.

Microsoft ha aggiornato la propria documentazione per avvisare gli utenti, ma non ha fornito indicazioni chiare su come mitigare il rischio, oltre a suggerire di configurare RDP per l’autenticazione solo con credenziali archiviate localmente.

Per ora, gli esperti raccomandano alle organizzazioni di rivedere le proprie configurazioni RDP e di valutare la possibilità di limitare l’accesso remoto o di imporre l’autenticazione locale per ridurre l’esposizione.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

L’Italia nel mondo degli Zero Day c’è! Le prime CNA Italiane sono Leonardo e Almaviva!
Di Massimiliano Brolli - 06/10/2025

Se n’è parlato molto poco di questo avvenimento, che personalmente reputo strategicamente molto importante e segno di un forte cambiamento nella gestione delle vulnerabilità non documentate in Ita...

Apple nel mirino? Presunta rivendicazione di data breach da 9 GB su Darkforums
Di Inva Malaj - 05/10/2025

Autore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...

SoopSocks: il pacchetto PyPI che sembrava un proxy ma era una backdoor per Windows
Di Antonio Piazzolla - 04/10/2025

La storia di SoopSocks è quella che, purtroppo, conosciamo bene: un pacchetto PyPI che promette utilità — un proxy SOCKS5 — ma in realtà introduce un impianto malevolo ben orchestrato. Non stia...

L’informatica non è più una carriera sicura! Cosa sta cambiando per studenti e aziende
Di Redazione RHC - 04/10/2025

Per decenni, l’informatica è stata considerata una scelta professionale stabile e ricca di opportunità. Oggi, però, studenti, università e imprese si trovano davanti a un panorama radicalmente m...

Quando l’hacker si ferma al pub! Tokyo a secco di birra Asahi per un attacco informatico
Di Redazione RHC - 03/10/2025

Lunedì scorso, Asahi Group, il più grande produttore giapponese di birra, whisky e bevande analcoliche, ha sospeso temporaneamente le sue operazioni in Giappone a seguito di un attacco informatico c...