Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 3 Maggio 2025 20:37
Microsoft ha confermato che il protocollo RDP (Remote Desktop Protocol) consente l’accesso ai sistemi Windows anche utilizzando password già modificate o revocate. L’azienda ha chiarito che non si tratta di una vulnerabilità, ma di una scelta progettuale intenzionale, e non prevede di modificarne il comportamento.
In effetti non è una novità, ma un comportamento che a nostro avviso dovrebbe essere rivisto per evitare il caching delle credenziali by default, ma abilitarla su specifica richiesta dell’utente. Questo perché moltissimi amministratori di sistemi potrebbero non conoscere questo comportamento ed installare un’istanza senza avere consapevolezza dei rischi derivanti.
Questa nuova segnalazione arriva dal ricercatore Daniel Wade, che ha evidenziato come RDP possa accettare credenziali obsolete anche dopo un cambio password dovuto a compromissione o misure preventive. Questo comportamento, spiegano Wade e Ars Technica, mina la fiducia degli utenti nella modifica delle password come strumento di protezione, lasciando milioni di dispositivi potenzialmente esposti ad accessi non autorizzati.
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La vulnerabilità deriva dal modo in cui Windows gestisce l’autenticazione per le sessioni RDP associate ad account Microsoft o Azure. Quando un utente accede con un account di questo tipo, Windows verifica la password online e ne memorizza localmente una versione protetta crittograficamente.
Per i successivi accessi RDP, il sistema verifica la password inserita con questa cache locale anziché riconvalidarla online. Se la password corrisponde a una credenziale precedentemente valida e memorizzata nella cache, anche se modificata o revocata, concede l’accesso.
Ciò significa che, anche dopo aver modificato una password nel cloud, la vecchia password rimane valida per RDP a tempo indeterminato. In alcuni casi, più password precedenti potrebbero funzionare, mentre la più recente no.
I professionisti della sicurezza hanno espresso preoccupazione per le implicazioni. Will Dormann, analista senior delle vulnerabilità presso Analygence, ha osservato: “Non ha senso dal punto di vista della sicurezza. Se fossi un amministratore di sistema, mi aspetterei che nel momento in cui cambio la password di un account, le vecchie credenziali di quell’account non possano più essere utilizzate da nessuna parte. Ma non è così”.
Secondo quanto riportato nel rapporto, la falla aggira efficacemente la verifica cloud, l’autenticazione multifattore e i criteri di accesso condizionale, creando una backdoor persistente per gli aggressori che hanno ottenuto vecchie credenziali.
Nonostante i rischi, Microsoft si è rifiutata di classificare il comportamento come bug o vulnerabilità. L’azienda afferma che il design garantisce che almeno un account utente possa sempre accedere, anche se il sistema è rimasto offline per un lungo periodo.
Microsoft ha aggiornato la propria documentazione per avvisare gli utenti, ma non ha fornito indicazioni chiare su come mitigare il rischio, oltre a suggerire di configurare RDP per l’autenticazione solo con credenziali archiviate localmente.
Per ora, gli esperti raccomandano alle organizzazioni di rivedere le proprie configurazioni RDP e di valutare la possibilità di limitare l’accesso remoto o di imporre l’autenticazione locale per ridurre l’esposizione.
RedazioneDietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...
Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
Nel 2025, le comunità IT e della sicurezza sono in fermento per un solo nome: “React2Shell“. Con la divulgazione di una nuova vulnerabilità, CVE-2025-55182, classificata CVSS 10.0, sviluppatori ...
Cloudflare torna sotto i riflettori dopo una nuova ondata di disservizi che, nella giornata del 5 dicembre 2025, sta colpendo diversi componenti della piattaforma. Oltre ai problemi al Dashboard e all...
