Trong bối cảnh công nghệ phát triển không ngừng, các hệ điều hành như Windows luôn phải đối mặt với những thách thức bảo mật phức tạp. Dù đã có nhiều cải tiến, nhưng những mảnh mã cũ tồn tại trong nhân hệ thống đôi khi vẫn có thể gây ra các vấn đề nghiêm trọng. Một trường hợp điển hình đã được báo cáo gần đây liên quan đến giao thức Windows Remote Desktop Protocol (RDP), cho thấy một lỗ hổng bảo mật đáng lo ngại nhưng lại bị Microsoft từ chối phân loại là lỗi.
Windows RDP: Nguy hiểm hơn bạn nghĩ?
Windows Remote Desktop Protocol (RDP) là một giao thức độc quyền của Microsoft, cho phép người dùng kết nối và truy cập từ xa vào các máy tính chạy hệ điều hành Windows. Công cụ này được sử dụng phổ biến, đặc biệt là bởi các quản trị viên IT trong các tổ chức để hỗ trợ người dùng hoặc quản lý hệ thống. Mặc dù RDP mang lại tiện ích vượt trội, nhưng nếu bị kẻ tấn công khai thác, nó có thể trở thành một mối đe dọa an ninh mạng nghiêm trọng.
Giao diện các công cụ hỗ trợ kết nối máy tính từ xa Remote Desktop Protocol
Nhà nghiên cứu bảo mật Daniel Wade đã phát hiện một lỗ hổng đặc biệt nghiêm trọng trong Windows RDP: giao thức này cho phép sử dụng thông tin đăng nhập đã bị thu hồi trong một số trường hợp nhất định. Điều này có nghĩa là, ngay cả khi mật khẩu cho RDP đã được đặt lại thành một giá trị mới, người dùng vẫn có thể kết nối từ xa đến máy tính chủ bằng thông tin đăng nhập cũ.
Tình trạng này xảy ra khi một máy tính Windows đăng nhập bằng tài khoản Microsoft hoặc Azure được cấu hình để sử dụng RDP. Người dùng đã xác thực có thể truy cập từ xa vào máy tính này thông qua mật khẩu riêng, được xác thực cục bộ hoặc thông qua tài khoản Microsoft/Azure. Tuy nhiên, Daniel Wade đã phát hiện ra rằng ngay cả khi mật khẩu của tài khoản trực tuyến này được đặt lại, mật khẩu cũ vẫn có thể được sử dụng, đây là một lỗ hổng bảo mật lớn.
Will Dormann, một nhà phân tích lỗ hổng khác, cũng đã nhận định: “Từ góc độ bảo mật, điều này thật vô lý. Nếu tôi là một quản trị viên hệ thống, tôi sẽ mong đợi rằng ngay khi tôi thay đổi mật khẩu của một tài khoản, thì thông tin đăng nhập cũ của tài khoản đó không thể được sử dụng ở bất cứ đâu. Nhưng đây lại không phải là trường hợp xảy ra.” Daniel Wade cũng nhấn mạnh rằng các công cụ bảo mật như Defender, Azure và Entra ID không hề cảnh báo về hành vi này, và không có chỉ báo rõ ràng nào khi hoạt động này diễn ra. Hơn nữa, tài liệu chính thức của Microsoft về chủ đề này cũng khá sơ sài.
Microsoft: “Đó là tính năng, không phải lỗi”
Trước báo cáo từ Daniel Wade, Trung tâm Phản ứng Bảo mật của Microsoft (MSRC) đã thừa nhận hành vi này nhưng từ chối phân loại nó là một lỗi hay lỗ hổng bảo mật. Microsoft tuyên bố rằng thiết kế này là có chủ đích, nhằm đảm bảo “ít nhất một tài khoản người dùng luôn có khả năng đăng nhập bất kể hệ thống đã ngoại tuyến trong bao lâu.” Mặc dù vậy, công ty đã cập nhật tài liệu chính thức của mình tại learn.microsoft.com, trong đó có đoạn cảnh báo:
Thận trọng
Khi người dùng thực hiện đăng nhập cục bộ, thông tin đăng nhập của họ được xác minh cục bộ dựa trên một bản sao đã lưu trong bộ nhớ đệm trước khi được xác thực với nhà cung cấp danh tính qua mạng. Nếu xác minh bộ nhớ đệm thành công, người dùng sẽ có quyền truy cập vào màn hình desktop ngay cả khi thiết bị ngoại tuyến. Tuy nhiên, nếu người dùng thay đổi mật khẩu của họ trên đám mây, trình xác minh đã lưu trong bộ nhớ đệm sẽ không được cập nhật, điều này có nghĩa là họ vẫn có thể truy cập máy cục bộ của mình bằng mật khẩu cũ.
Máy tính xách tay Windows 11 hiển thị các ứng dụng đang hoạt động, minh họa hệ thống có thể bị truy cập RDP
Điều đáng chú ý là Microsoft đã nhận thức được vấn đề này từ ít nhất tháng 8 năm 2023. Tuy nhiên, khi nhận được các báo cáo về “lỗi” này vào thời điểm đó, công ty đã xem xét thiết kế và tài liệu triển khai, và cuối cùng quyết định rằng việc sửa đổi mã sẽ gây ra các vấn đề tương thích. Do đó, Microsoft cho rằng lợi ích không bù đắp được chi phí. Điều này có nghĩa là rất khó có khả năng công ty Redmond sẽ vá “lỗ hổng” này, mặc dù lẽ ra việc thay đổi mật khẩu của một dịch vụ phải đồng nghĩa với việc nó không thể được sử dụng để truy cập lại.
Kết luận
Lỗ hổng trong Windows RDP, cho phép mật khẩu cũ vẫn hoạt động sau khi thay đổi, đặt ra một rủi ro bảo mật đáng kể cho người dùng và quản trị viên hệ thống. Mặc dù Microsoft coi đây là một “tính năng thiết kế” nhằm duy trì khả năng truy cập ngoại tuyến, nhưng nó lại đi ngược với kỳ vọng cơ bản về bảo mật khi thay đổi thông tin đăng nhập. Cộng đồng người dùng cần đặc biệt cảnh giác và áp dụng các biện pháp bảo mật bổ sung để hạn chế rủi ro.
Bạn nghĩ sao về phản ứng của Microsoft trước lỗ hổng bảo mật RDP này? Hãy chia sẻ ý kiến của bạn trong phần bình luận bên dưới!
