Microsoft заявила, что не планирует вносить изменения в работу протокола удалённого рабочего стола (RDP) в Windows, несмотря на то, что текущая реализация допускает авторизацию с использованием устаревшего пароля. Об этом сообщил исследователь безопасности Даниэль Уэйд, направивший отчёт в Microsoft Security Response Center.
Суть проблемы заключается в том, что даже после смены пароля учётной записи, доступ к системе по RDP может сохраняться с помощью ранее закэшированного пароля. Это делает невозможным полный отзыв доступа и создаёт потенциальную угрозу, особенно если старый пароль уже скомпрометирован.
Microsoft ответила, что поведение системы реализовано намеренно — в целях обеспечения гарантированного доступа к машинам, которые долгое время находились в оффлайн-режиме. Компания не признаёт это поведение уязвимостью и не планирует вводить возможность его отключения.
Исследователи отмечают, что в условиях современных угроз безопасности невозможность немедленного отключения доступа через смену пароля может привести к несанкционированному доступу, о котором пользователь даже не будет уведомлён. Microsoft в 2023 году уже рассматривала подобные обращения, но решила сохранить текущую реализацию из-за опасений повредить совместимость с существующими системами.