Microsoft ha confirmado que el Protocolo de escritorio remoto (RDP) permite a los usuarios iniciar sesión en máquinas de Windows utilizando contraseñas que ya se han cambiado o cancelado.
La compañía dice que no tiene planes de cambiar el comportamiento y lo describirá como una decisión de diseño deliberada en lugar de una vulnerabilidad de seguridad.
El problema se hizo claro después de que el investigador de seguridad independiente Daniel Wade informó al Centro de Respuesta a la Seguridad de Microsoft. Bajo ciertas condiciones, RDP informó que los usuarios continúan aceptando contraseñas antiguas para el acceso remoto, incluso después de haber hecho compromisos o cambiar sus contraseñas para la higiene de seguridad de rutina.
Los hallazgos de Wade detallados en el informe ARS Technica advierten que este comportamiento socavará la colocación de usuarios altamente confiables al cambiar las contraseñas como una forma de bloquear el acceso no autorizado.
“Esto no es solo un error, es un desglose de la confianza”, escribe Wade. “La gente confía en que cambiar su contraseña bloqueará el acceso no autorizado. El resultado es una configuración para millones de usuarios, pequeñas empresas o trabajos híbridos, inconscientemente en riesgo”.
Cómo funciona la vulnerabilidad
La vulnerabilidad se debe a la forma en que Windows maneja la autenticación para sesiones RDP relacionadas con cuentas de Microsoft o Azure. Cuando un usuario inicia sesión con dicha cuenta, Windows verificará la contraseña en línea y almacenará la versión cifrada localmente.
Para los inicios de sesión de RDP posteriores, el sistema verifica la contraseña ingresada para este caché local, en lugar de recalibrarla en línea. Otorga acceso incluso si la contraseña ha sido cambiada o revocada si coincide con credenciales previamente válidas y almacenadas en caché.
Esto significa que incluso después de que la contraseña se haya cambiado en la nube, la contraseña anterior seguirá siendo válida para RDP por indefinidamente. En algunos casos, pueden funcionar múltiples contraseñas antiguas, pero las últimas contraseñas no funcionarán.
Los expertos en seguridad han expresado su preocupación por el significado. “No tiene sentido desde una perspectiva de seguridad. Creo que en el momento en que cambia la contraseña de su sistema, no puede usar las credenciales de su cuenta antigua en ningún lugar”, dijo Will Dormann, analista de vulnerabilidades senior en el análisis.
Este defecto omite efectivamente la validación de la nube, la autenticación multifactorial y las políticas de acceso condicional, crea puertas traseras persistentes para los atacantes que han adquirido credenciales antiguas y leen informes publicados.
Respuesta de Microsoft: “No es una vulnerabilidad de seguridad”
A pesar de los riesgos, Microsoft se negó a clasificar el comportamiento como un error o vulnerabilidad. La compañía dice que el diseño está garantizado para garantizar que al menos una cuenta de usuario siempre se pueda iniciar sesión, incluso si el sistema está fuera de línea durante un largo período de tiempo.
Microsoft ha actualizado su documentación para advertir a los usuarios, pero más allá de sugerir que RDP está configurado para autenticarse solo con credenciales almacenadas localmente, no proporciona una guía clara sobre cómo mitigar el riesgo.
Un portavoz de Microsoft confirmó que la compañía ha sido consciente del problema desde al menos agosto de 2023, pero argumentó que cambiar su comportamiento podría comprometer la compatibilidad con las aplicaciones existentes.
Cambiar su contraseña de Microsoft o Azure no revocará inmediatamente el acceso RDP para sus credenciales antiguas. Si se usa una contraseña antigua para su inicio de sesión RDP, no hay alertas o advertencias claras. Las herramientas de seguridad de Microsoft, incluidos Defender y Azure, no deben marcar este comportamiento.
Por ahora, los expertos recomiendan que las organizaciones revisen su configuración RDP y consideren implementar la autenticación local para reducir las restricciones o exposición de acceso remoto.
La postura de Microsoft deja a millones de riesgos atrás, destacando la desconexión fundamental entre las expectativas de los usuarios de seguridad de contraseña y la realidad del diseño RDP de Windows.
¿Eres de los equipos SOC y DFIR? -Inicie los incidentes de malware en tiempo real.
