Bir saldırıdan sonra veya tehlikeye atılan erişim verilerini biliyorsanız, yönetim şifrelerini iptal edin ve kötü aktörlerin büyüleyici verilere kaydolamayacak şekilde ri -seti yapın. Uzak masaüstü protokolüne (RDP) erişmek etkinleştirilirse, bu yardımcı olmaz: eski şifreler burada geçerli kalır.
Arstechnica bu beklenmedik davranışı bildiriyor. Sonuç olarak, Daniel Wade bu davranışı Microsoft Güvenlik Yanıt Merkezi'nde (MSRC) bildirdi. Ona göre, RDP'deki eski erişim verileri, yeni nane makinelerinde bile çalışmaya devam ediyor. Yaşlı insanlar hala çalışırken en son şifreler göz ardı edilebilir. Ne Windows Defender ne de Kimlik Enra veya Azure uyarılar sunmaz. Kullanıcıların bu sorunu keşfetmeleri ve düzeltmeleri için net bir yol yoktur. Microsoft bu senaryoyu doğrudan belgelemez.
Microsoft: “Tasarım Kararı” “Zayıflık” tanımını yapmaz
Microsoft'a göre, “en az bir kullanıcı hesabının kaydedilebileceğini garanti eden bir tasarım kararıdır, bunun ne kadar sürdüğü önemli değildir”. Bu nedenle, bu davranış zayıf bir nokta tanımını yapmaz. Microsoft'un hiçbir şeyi değiştirme niyeti yok.
RDP, makinelerden (Windows) uzaktan ve yerel bir bilgisayarda çalışmak için kayıt yapmak için kullanılır. Bunu yapmak için yazılım masaüstü çıkışını kaldırılan makineye aktarır. Bir bilgisayar Microsoft veya Azure hesabı ile uzaktan erişimi etkinleştiriyorsa, kullanıcılar RDP aracılığıyla bir şifreye kaydolabilir. Bu, yerel arşivlenmiş erişim verileriyle karşılaştırılır. Alternatif olarak, yerel kullanıcıların PC'ye kaydoldukları çevrimiçi hesaba kaydolabilirsiniz.
Ancak, kullanıcılar değiştirmiş olsa bile, uzaktan erişim şifresi geçerli kalır. Sonuç olarak, en eski şifreler bazı durumlarda çalışabilir ve artık yeni olamaz. Sonunda kalıcı bir RDP erişimi, bulutun doğrulanması için yönergeler, erişim kontrolü için birden fazla faktör ve yönergeye kimlik doğrulaması vardır. Wade, raporunda onu büyük ölçüde formüle ediyor: “Bu, bir şifrenin yakalandığı her sistemde sessiz ve uzak bir arka kapı (arka kapı) yaratıyor. Saldırganlar sisteme hiç erişmemiş olsa bile, Windows şifreye güveniyor.”
“Kimlik bilgisi önbellek” sorununun nedeni
Nedeni, erişim verilerini kaydetmektir (kimlik bilgileri önbelleğinde depolama). Bir Microsoft veya Azure hesabına kaydolurken, RDP çevrimiçi şifreyi doğrular. Windows daha sonra PC veya dizüstü bilgisayarda yerel olarak korunan şifreli erişim verilerini kaydeder. Oradan, Windows, çevrimiçi bir test olmadan yerel olarak kaydedilen erişim verilerine göre bir RDP toplantısının her şifresini kontrol eder. Bu nedenle, iptal edilen şifreler RDP aracılığıyla da erişim sağlar.
Windows Access senaryolarına çevrimiçi belgelerin güncellenmesi ile Microsoft, Wades Güvenlik Raporuna tepki gösterdi. “Kullanıcı yerel erişimi gerçekleştirirse, erişim verileri internetteki kimlik sağlayıcısı tarafından kimlik doğrulamasından önce bir ara kopyaya kıyasla yerel olarak doğrulanacaktır. Şirket şimdi yerel makineye eski şifreyle erişmenin mümkün olduğunu yazıyor.
Bu nedenle uyuyacağı güvenlik araştırmacısı, çoğu yöneticiyi tanımak kolay değildir ve aynı zamanda açıkça yeterince değildir. İlgilenen RDP'nin Azure veya Microsoft hesabının tehlikeye atılmayacağını nasıl koruyabileceğine dair hiçbir belirti yoktu. Görünüşe göre Wade sorunu ilk bildiren kişi değildi. Microsoft, 2023'te başka bir BT araştırmacısının düştüğünü bildirdi: “Başlangıçta bu sorun için kodun bir değiştirilmesini düşündük, ancak tasarım belgelerinin daha fazla incelenmesinden sonra, koddaki değişikliklerin birçok uygulama tarafından kullanılan işlevlerle uyumluluktan ödün verebileceği keşfedildi”.
(DMK)
Arstechnica bu beklenmedik davranışı bildiriyor. Sonuç olarak, Daniel Wade bu davranışı Microsoft Güvenlik Yanıt Merkezi'nde (MSRC) bildirdi. Ona göre, RDP'deki eski erişim verileri, yeni nane makinelerinde bile çalışmaya devam ediyor. Yaşlı insanlar hala çalışırken en son şifreler göz ardı edilebilir. Ne Windows Defender ne de Kimlik Enra veya Azure uyarılar sunmaz. Kullanıcıların bu sorunu keşfetmeleri ve düzeltmeleri için net bir yol yoktur. Microsoft bu senaryoyu doğrudan belgelemez.
Microsoft: “Tasarım Kararı” “Zayıflık” tanımını yapmaz
Microsoft'a göre, “en az bir kullanıcı hesabının kaydedilebileceğini garanti eden bir tasarım kararıdır, bunun ne kadar sürdüğü önemli değildir”. Bu nedenle, bu davranış zayıf bir nokta tanımını yapmaz. Microsoft'un hiçbir şeyi değiştirme niyeti yok.
RDP, makinelerden (Windows) uzaktan ve yerel bir bilgisayarda çalışmak için kayıt yapmak için kullanılır. Bunu yapmak için yazılım masaüstü çıkışını kaldırılan makineye aktarır. Bir bilgisayar Microsoft veya Azure hesabı ile uzaktan erişimi etkinleştiriyorsa, kullanıcılar RDP aracılığıyla bir şifreye kaydolabilir. Bu, yerel arşivlenmiş erişim verileriyle karşılaştırılır. Alternatif olarak, yerel kullanıcıların PC'ye kaydoldukları çevrimiçi hesaba kaydolabilirsiniz.
Ancak, kullanıcılar değiştirmiş olsa bile, uzaktan erişim şifresi geçerli kalır. Sonuç olarak, en eski şifreler bazı durumlarda çalışabilir ve artık yeni olamaz. Sonunda kalıcı bir RDP erişimi, bulutun doğrulanması için yönergeler, erişim kontrolü için birden fazla faktör ve yönergeye kimlik doğrulaması vardır. Wade, raporunda onu büyük ölçüde formüle ediyor: “Bu, bir şifrenin yakalandığı her sistemde sessiz ve uzak bir arka kapı (arka kapı) yaratıyor. Saldırganlar sisteme hiç erişmemiş olsa bile, Windows şifreye güveniyor.”
“Kimlik bilgisi önbellek” sorununun nedeni
Nedeni, erişim verilerini kaydetmektir (kimlik bilgileri önbelleğinde depolama). Bir Microsoft veya Azure hesabına kaydolurken, RDP çevrimiçi şifreyi doğrular. Windows daha sonra PC veya dizüstü bilgisayarda yerel olarak korunan şifreli erişim verilerini kaydeder. Oradan, Windows, çevrimiçi bir test olmadan yerel olarak kaydedilen erişim verilerine göre bir RDP toplantısının her şifresini kontrol eder. Bu nedenle, iptal edilen şifreler RDP aracılığıyla da erişim sağlar.
Windows Access senaryolarına çevrimiçi belgelerin güncellenmesi ile Microsoft, Wades Güvenlik Raporuna tepki gösterdi. “Kullanıcı yerel erişimi gerçekleştirirse, erişim verileri internetteki kimlik sağlayıcısı tarafından kimlik doğrulamasından önce bir ara kopyaya kıyasla yerel olarak doğrulanacaktır. Şirket şimdi yerel makineye eski şifreyle erişmenin mümkün olduğunu yazıyor.
Bu nedenle uyuyacağı güvenlik araştırmacısı, çoğu yöneticiyi tanımak kolay değildir ve aynı zamanda açıkça yeterince değildir. İlgilenen RDP'nin Azure veya Microsoft hesabının tehlikeye atılmayacağını nasıl koruyabileceğine dair hiçbir belirti yoktu. Görünüşe göre Wade sorunu ilk bildiren kişi değildi. Microsoft, 2023'te başka bir BT araştırmacısının düştüğünü bildirdi: “Başlangıçta bu sorun için kodun bir değiştirilmesini düşündük, ancak tasarım belgelerinin daha fazla incelenmesinden sonra, koddaki değişikliklerin birçok uygulama tarafından kullanılan işlevlerle uyumluluktan ödün verebileceği keşfedildi”.
(DMK)