Trong nhiều thập kỷ qua, hệ điều hành Windows đã không ít lần vấp phải các sự cố kỳ lạ, một phần do những đoạn mã cũ kỹ tồn tại trong phần mềm của nó. Điển hình như việc các máy tính chạy Windows XP từng bị treo khi nhạc phẩm Rhythm Nation của Janet Jackson được phát gần đó. Mới đây, một vấn đề mới nghiêm trọng hơn đã được báo cáo, gây ra rủi ro bảo mật đáng kể, nhưng Microsoft lại từ chối coi đó là một lỗi. Vấn đề này liên quan đến khả năng truy cập từ xa qua Remote Desktop Protocol (RDP) của Windows, nơi những mật khẩu đã bị thu hồi vẫn có thể được sử dụng để đăng nhập.
Windows RDP: Tiện Ích Đầy Rủi Ro Bảo Mật
Windows Remote Desktop Protocol (RDP) là một giao thức độc quyền của Microsoft, cho phép người dùng kết nối và truy cập các máy tính Windows từ xa. Ứng dụng phổ biến nhất của RDP là giúp các quản trị viên IT trong một tổ chức kết nối với tài khoản của người dùng để khắc phục sự cố. Đây là một giao thức cực kỳ hữu ích, nhưng nếu bị kẻ xấu khai thác, nó có thể trở thành một mối nguy hiểm khôn lường cho an ninh mạng.
Hình ảnh giao diện người dùng của Remote Desktop Protocol (RDP), minh họa cách thức hoạt động của công cụ truy cập máy tính từ xa trên Windows
Mới đây, nhà nghiên cứu bảo mật Daniel Wade (thông tin từ Ars Technica) đã phát hiện một lỗ hổng đặc biệt nghiêm trọng trong Windows RDP. Lỗ hổng này cho phép các thông tin đăng nhập đã bị thu hồi (mật khẩu cũ) vẫn có thể hoạt động trong một số trường hợp nhất định. Điều này có nghĩa là ngay cả khi mật khẩu của tài khoản Windows RDP đã được đặt lại thành một cái gì đó khác, kẻ tấn công vẫn có thể kết nối từ xa với PC mục tiêu bằng mật khẩu cũ.
Tình huống này xảy ra khi một PC Windows được đăng nhập vào tài khoản Microsoft hoặc Azure và được cấu hình để sử dụng RDP. Người dùng được xác thực có thể truy cập PC từ xa bằng mật khẩu chuyên dụng được xác thực với thông tin đăng nhập được lưu trữ cục bộ, hoặc thông qua tài khoản Microsoft/Azure. Tuy nhiên, Wade phát hiện ra rằng ngay cả khi mật khẩu cho tài khoản trực tuyến này được đặt lại, mật khẩu cũ vẫn có thể được sử dụng, đây là một lỗ hổng an ninh mạng lớn.
Một nhà phân tích lỗ hổng khác, Will Dormann, đã nhận xét rằng: “Điều này không có ý nghĩa từ góc độ bảo mật. Nếu tôi là một quản trị viên hệ thống, tôi sẽ mong đợi rằng ngay khi tôi thay đổi mật khẩu của một tài khoản, thì thông tin đăng nhập cũ của tài khoản đó không thể được sử dụng ở bất cứ đâu. Nhưng đây không phải là trường hợp thực tế.” Wade cũng nhấn mạnh rằng Defender, Azure và Entra ID đều không gắn cờ hành vi này. Ngoài ra, không có chỉ số rõ ràng nào khi hoạt động này xảy ra, và tài liệu của Microsoft về chủ đề này cũng khá hạn chế.
Microsoft Phản Hồi: “Đây Là Một Tính Năng, Không Phải Lỗi”
Trước báo cáo từ Wade, Trung tâm Phản ứng An ninh Microsoft (MSRC) đã thừa nhận hành vi này nhưng từ chối phân loại nó là một lỗi hoặc lỗ hổng. Microsoft khẳng định rằng đây là một thiết kế có chủ ý, nhằm đảm bảo rằng “ít nhất một tài khoản người dùng luôn có khả năng đăng nhập bất kể hệ thống đã ngoại tuyến bao lâu.” Tuy nhiên, công ty đã cập nhật tài liệu chính thức của mình tại đây, trong đó có đoạn:
Cảnh báo
Khi người dùng thực hiện đăng nhập cục bộ, thông tin xác thực của họ được xác minh cục bộ dựa trên một bản sao đã được lưu vào bộ nhớ cache trước khi được xác thực với nhà cung cấp danh tính qua mạng. Nếu việc xác minh bộ nhớ cache thành công, người dùng sẽ có quyền truy cập vào màn hình nền ngay cả khi thiết bị ngoại tuyến. Tuy nhiên, nếu người dùng thay đổi mật khẩu của họ trên đám mây, thông tin xác minh được lưu vào bộ nhớ cache sẽ không được cập nhật, điều này có nghĩa là họ vẫn có thể truy cập máy cục bộ của mình bằng mật khẩu cũ.
Màn hình laptop chạy hệ điều hành Windows 11, minh họa môi trường hoạt động phổ biến mà Remote Desktop Protocol được sử dụng, nơi vấn đề bảo mật RDP đang gây tranh cãi
Điều đáng chú ý là Microsoft đã biết về vấn đề này từ ít nhất là tháng 8 năm 2023. Tuy nhiên, khi nhận được các báo cáo về “lỗi” này vào thời điểm đó, họ đã xem xét thiết kế và tài liệu triển khai của mình, và cuối cùng quyết định rằng các sửa đổi mã sẽ gây ra vấn đề tương thích. Do đó, Microsoft cho rằng việc sửa lỗi không đáng để đánh đổi. Nhìn chung, khả năng cao là gã khổng lồ Redmond sẽ không vá lỗ hổng này, mặc dù việc thay đổi mật khẩu dịch vụ thường có nghĩa là mật khẩu cũ sẽ không thể được sử dụng để truy cập lại.
Vấn đề bảo mật này nhấn mạnh tầm quan trọng của việc hiểu rõ cách thức hoạt động của các giao thức truy cập từ xa và sự cần thiết của các biện pháp bảo mật bổ sung, đặc biệt khi dựa vào việc thay đổi mật khẩu như một giải pháp bảo vệ duy nhất. Người dùng và quản trị viên hệ thống cần hết sức thận trọng và tìm kiếm các giải pháp bảo mật nhiều lớp để bảo vệ hệ thống của mình khỏi các truy cập không mong muốn. Hãy luôn cập nhật tin tức công nghệ tại camnangcongnghe.net để không bỏ lỡ những thông tin quan trọng như thế này.