Vấn đề bảo mật luôn là mối quan tâm hàng đầu đối với người dùng và quản trị viên hệ thống, đặc biệt là khi liên quan đến các giao thức truy cập từ xa. Mới đây, một lỗ hổng đáng lo ngại đã được phát hiện trong Windows Remote Desktop Protocol (RDP), cho phép thông tin xác thực cũ vẫn hoạt động ngay cả sau khi mật khẩu đã được thay đổi. Điều đáng nói, Microsoft đã từ chối phân loại đây là một lỗi, mà thay vào đó, coi nó là một “tính năng” cố ý, gây ra nhiều tranh cãi trong cộng đồng chuyên gia bảo mật.
Windows RDP và mối lo ngại về bảo mật
Windows Remote Desktop Protocol (RDP) là một giao thức độc quyền của Microsoft, cho phép người dùng kết nối và truy cập từ xa vào các máy tính chạy hệ điều hành Windows. Công cụ này đặc biệt hữu ích cho các quản trị viên IT trong các tổ chức, giúp họ khắc phục sự cố hoặc quản lý tài khoản người dùng từ xa. Tuy nhiên, bất kỳ giao thức nào có khả năng truy cập từ xa cũng tiềm ẩn rủi ro bảo mật nghiêm trọng nếu bị kẻ tấn công khai thác.
Giao diện các công cụ hỗ trợ truy cập từ xa qua Remote Desktop Protocol (RDP) trên Windows
Nhà nghiên cứu bảo mật Daniel Wade đã phát hiện ra một lỗ hổng đặc biệt nghiêm trọng trong Windows RDP. Theo đó, giao thức này cho phép thông tin xác thực đã bị thu hồi (mật khẩu cũ) vẫn có thể được sử dụng trong một số trường hợp nhất định. Điều này có nghĩa là, ngay cả khi mật khẩu tài khoản Windows RDP đã được thay đổi sang một mật khẩu mới, kẻ tấn công vẫn có khả năng kết nối từ xa đến máy tính chủ bằng thông tin đăng nhập cũ.
Tình trạng này xảy ra khi một máy tính Windows đã đăng nhập vào tài khoản Microsoft hoặc Azure được cấu hình để sử dụng RDP. Người dùng được xác thực có thể truy cập máy tính từ xa bằng mật khẩu chuyên dụng được xác thực so với thông tin xác thực được lưu trữ cục bộ, hoặc thông qua tài khoản Microsoft/Azure. Tuy nhiên, Wade đã phát hiện ra rằng ngay cả khi mật khẩu của tài khoản trực tuyến này được đặt lại, mật khẩu cũ vẫn có thể được sử dụng, đây là một điểm yếu bảo mật đáng kể.
Một nhà phân tích lỗ hổng khác, Will Dormann, đã nhấn mạnh sự vô lý của vấn đề này: “Từ góc độ bảo mật, điều này thật vô lý. Nếu tôi là một quản trị viên hệ thống, tôi sẽ mong đợi rằng ngay khi tôi thay đổi mật khẩu của một tài khoản, thì thông tin xác thực cũ của tài khoản đó sẽ không thể được sử dụng ở bất cứ đâu. Nhưng đây lại không phải là trường hợp này.” Wade cũng chỉ ra thêm rằng các dịch vụ bảo mật như Defender, Azure và Entra ID không gắn cờ hành vi này, và không có dấu hiệu rõ ràng nào khi hoạt động này xảy ra. Hơn nữa, tài liệu chính thức của Microsoft về chủ đề này cũng khá sơ sài.
Phản ứng gây tranh cãi của Microsoft: Từ chối xem là lỗi
Trước báo cáo từ Daniel Wade, Trung tâm Phản hồi Bảo mật của Microsoft (MSRC) đã thừa nhận hành vi này nhưng lại không phân loại nó là một lỗi hay lỗ hổng bảo mật. Thay vào đó, Microsoft tuyên bố rằng thiết kế này là cố ý và nhằm đảm bảo rằng “ít nhất một tài khoản người dùng luôn có khả năng đăng nhập bất kể hệ thống đã ngoại tuyến trong bao lâu.”
Giao diện hệ điều hành Windows 11, nơi lỗ hổng bảo mật RDP được phát hiện
Mặc dù vậy, công ty đã cập nhật tài liệu chính thức của mình trên trang Microsoft Learn, có đề cập đến một cảnh báo quan trọng:
Thận trọng
Khi người dùng thực hiện đăng nhập cục bộ, thông tin xác thực của họ được xác minh cục bộ so với bản sao đã lưu trong bộ nhớ cache trước khi được xác thực với nhà cung cấp danh tính qua mạng. Nếu xác minh bộ nhớ cache thành công, người dùng sẽ có quyền truy cập vào màn hình nền ngay cả khi thiết bị ngoại tuyến. Tuy nhiên, nếu người dùng thay đổi mật khẩu của họ trên đám mây, trình xác minh trong bộ nhớ cache không được cập nhật, điều đó có nghĩa là họ vẫn có thể truy cập máy cục bộ của mình bằng mật khẩu cũ.
Đáng chú ý, Microsoft đã biết về vấn đề này ít nhất từ tháng 8 năm 2023. Tuy nhiên, khi nhận được các báo cáo về “lỗi” này vào thời điểm đó, công ty đã xem xét lại thiết kế và tài liệu triển khai của mình, và cuối cùng quyết định rằng việc sửa đổi mã sẽ gây ra các vấn đề tương thích. Do đó, Microsoft cho rằng lợi ích của việc vá lỗi không xứng đáng với những rủi ro và phức tạp mà nó có thể gây ra. Điều này cho thấy khả năng công ty Redmond sẽ không vá lỗ hổng này, mặc dù nhiều người dùng và chuyên gia đều tin rằng việc thay đổi mật khẩu cho một dịch vụ phải đồng nghĩa với việc thông tin xác thực cũ không còn được sử dụng.
Kết luận
Lỗ hổng trong Windows RDP, cho phép mật khẩu cũ vẫn hoạt động, đặt ra một rủi ro bảo mật đáng kể đối với người dùng và hệ thống. Mặc dù Microsoft đã công nhận hành vi này nhưng lại không coi đó là một lỗi, điều này gây nên sự thất vọng và lo ngại trong cộng đồng an ninh mạng. Người dùng và quản trị viên cần hết sức cảnh giác, đặc biệt khi quản lý các tài khoản truy cập từ xa trên Windows, và nên tìm hiểu thêm về các biện pháp bảo mật bổ sung để giảm thiểu rủi ro tiềm ẩn từ vấn đề này.
