Een achterdeur in Windows Remote Desktop Protocol laat toe om in te loggen met oude wachtwoorden nadat ze veranderd zijn. Volgens Microsoft is er geen probleem.
Een achterdeur in Windows Remote Desktop Protocol (RDP) zet de beveiligingswereld in rep en roer. Onderzoeker Daniel Wade ontdekte dat RDP oude wachtwoorden toelaat, ook wanneer ze door de eigenaar van het account al veranderd zijn. De enige die geen graten ziet, is Microsoft zelf, dat laat weten niet van plan te zijn de achterdeur te sluiten.
lees ook
‘Remote Desktop (RDP) is de motor achter tal van aanvallen’
Windows Remote Desktop Protocol laat toe om van op afstand in te loggen op een apparaat en de controle virtueel over te nemen. Dat is handig voor beheerde apparaten binnen bedrijven, maar niet zo handig als een aanvaller in bezit is van een wachtwoord. Met een geldige RDP-login krijgt een aanvaller vrij spel over een apparaat.
Oude wachtwoorden
Als je wachtwoord gecompromitteerd wordt, zou je eerste reflex moeten zijn om dat wachtwoord te veranderen. Maar dat haalt bij Windows RDP dus weinig uit, ontdekte Wade. Het Windows Remote Desktop Protocol blijft oude wachtwoorden aanvaarden, ook wanneer ze door de accounteigenaar veranderd zijn.
De achterdeur is een gevolg van hoe Remote Desktop Protocol wachtwoorden opslaat. De eerste keer dat een gebruiker inlogt, zal RDP de validiteit van de inloggegevens online controleren. Eens het groene vinkje gegeven is, slaat Windows de credentials in een versleuteld formaat lokaal op de harde schijf op het apparaat.
Hierdoor hoeft RDP niet telkens een online controle uit te voeren. Dat zorgt er echter ook voor dat eens een wachtwoord goedgekeurd is, RDP dit blijft goedkeuren. Het verouderde wachtwoord geraakt zo door de controle waardoor beveiligingstools als Defender en Entra ID geen alarm slaan. Integendeel, de kans is zelfs groter dat het nieuwe wachtwoord niet wordt goedgekeurd omdat het niet overeenkomt met het veranderde wachtwoord.
Geen achterdeur, maar een feature
Hoewel beveiligingsexperten een groot beveiligingsrisico zien in de achterdeur, maakt Microsoft zich nergens zorgen om. In een verklaring zegt Microsoft Remote Desktop Protocol bewust op deze manier geprogrammeerd te hebben. Het maken van een lokale kopie op de harde schijf garandeert dat ‘minstens één gebruiker zich altijd kan aanmelden’, luidt de verklaring.
Microsoft is dus niet van plan om de achterdeur aan te passen. De enige actie die Microsoft onderneemt, is een rode waarschuwing op de informatiepagina van Windows-loginsystemen. Daarin meldt Microsoft dat ‘als de gebruiker echter zijn wachtwoord in de cloud wijzigt, de verificatie in de cache niet wordt bijgewerkt, wat betekent dat hij nog steeds toegang heeft tot zijn lokale computer met zijn oude wachtwoord’.
Windows Remote Desktop Protocol zorgt vaker voor problemen. Zeker tijdens de coronapandemie bleek het een populaire toegangspoort voor cyberaanvallen van op afstand. Dat Microsoft zo nonchalant omgaat met potentiële achterpoortjes in het systeem, botst op onbegrip bij beveiligingsexperten.