ztevenreal
La capacidad de usar una contraseña revocada para iniciar sesión a través de RDP ocurre cuando una máquina de Windows que se inicia sesión con una cuenta de Microsoft o Azure está configurado para habilitar el acercamiento remoto de escritorio. En ese caso, los usuarios pueden iniciar sesión en RDP con una contraseña dedicada validada contra una credencial almacenada localmente. Alternativamente, los usuarios pueden iniciar sesión utilizando las credenciales para la cuenta en orientación que se utilizó para iniciar sesión en la máquina.
Una captura de pantalla de una ventana de configuración RDP que muestra una cuenta de Microsoft (para hotmail) tiene acercamiento remoto.
Sin incautación, incluso posteriormente de que los usuarios cambien la contraseña de su cuenta, sigue siendo válido para los inicios de sesión de RDP indefinidamente. En algunos casos, informó Wade, múltiples contraseñas más antiguas funcionarán, mientras que las más nuevas no lo harán. El resultado: acercamiento persistente RDP que omite la demostración de la montón, la autenticación multifactorial y las políticas de acercamiento condicional.
Wade y otro hábil en seguridad de Windows dijeron que el comportamiento poco conocido podría resultar costoso en escenarios en los que se ha comprometido una cuenta de Microsoft o Azure, por ejemplo, cuando las contraseñas para ellos se han filtrado públicamente. En tal caso, el primer curso de obra es cambiar la contraseña para evitar que un adversario lo use para penetrar a posibles confidenciales. Si proporcionadamente el cambio de contraseña evita que el adversario se inicie sesión en la cuenta de Microsoft o Azure, la contraseña antigua le dará acercamiento a un adversario a la máquina del afortunado a través de RDP indefinidamente.
“Esto crea una puerta trasera silenciosa y remota en cualquier sistema donde la contraseña haya sido almacenada en gusto”, escribió Wade en su mensaje. “Incluso si el atacante nunca tuvo acercamiento a ese sistema, Windows aún confiará en la contraseña”.
Will Dormann, analista de vulnerabilidades de la firma de seguridad Analgence, estuvo de acuerdo.
“No tiene sentido desde una perspectiva de seguridad”, escribió en una entrevista en orientación. “Si soy un sysadmin, esperaría que en el momento en que cambie la contraseña de una cuenta, entonces las credenciales antiguas de esa cuenta no se pueden usar en ningún banda. Pero este no es el caso”.
El almacenamiento en gusto de la credencial es un problema
El mecanismo que hace que todo esto sea posible es el almacenamiento en gusto de la credencial en el disco duro de la máquina nave. La primera vez que un afortunado inicia sesión con credenciales de cuenta de Microsoft o Azure, RDP confirmará la validez de la contraseña en orientación. Windows luego almacena la credencial en un formato criptográfico asegurado en la máquina nave. A partir de entonces, Windows validará cualquier contraseña ingresada durante un inicio de sesión de RDP comparándola con la credencial almacenada localmente, sin una búsqueda en orientación. Con eso, la contraseña revocada aún dará acercamiento remoto a través de RDP.
