Se ha descubierto una vulnerabilidad de seguridad significativa en el Protocolo de Escritorio Remoto (RDP) de Microsoft, una tecnología que data de Windows NT 4.0 y que permite conexiones remotas a máquinas Windows. A pesar de representar un riesgo grave – permitiendo que contraseñas previamente utilizadas y potencialmente comprometidas otorguen acceso incluso después de su revocación – Microsoft ha declarado que no solucionará el problema debido a posibles problemas de compatibilidad con las aplicaciones existentes.
El Protocolo de Escritorio Remoto (RDP) de Microsoft, una tecnología que data de Windows NT 4.0 en 1998, alberga una vulnerabilidad de seguridad significativa que permite el acceso no autorizado a máquinas Windows. Este fallo, redescubierto recientemente por investigadores independientes, se deriva de la incapacidad de RDP para invalidar contraseñas previamente utilizadas, incluso después de que hayan sido revocadas o comprometidas.
Específicamente, la vulnerabilidad reside en el comportamiento de RDP de continuar aceptando contraseñas que han sido utilizadas una vez y que están almacenadas en caché en una máquina local. Windows almacena estas contraseñas validadas en una ubicación criptográficamente segura en el disco. Esto significa que un atacante, armado con una contraseña antigua, previamente válida, puede potencialmente obtener acceso al sistema, incluso si la contraseña ha sido cambiada por el administrador. Esto es una violación directa de los principios fundamentales de seguridad operativa (opsec). Como declaró el analista Daniel Wade, “La gente confía en que cambiar su contraseña cortará el acceso no autorizado”.
Las implicaciones de esta vulnerabilidad son de gran alcance, afectando a todas las versiones profesionales y de servidor de Windows desde Windows XP. Esto incluye a millones de usuarios en entornos domésticos, de pequeñas oficinas/oficinas en casa (SOHO) y empresariales. La naturaleza generalizada del problema se ve agravada por el hecho de que las plataformas de gestión y seguridad en línea de Microsoft, como Entra ID, Azure y Defender, no emiten ninguna alarma cuando se utiliza una contraseña anterior, previamente utilizada, lo que potencialmente permite que el acceso no autorizado pase desapercibido.
A pesar de haber sido alertada sobre el problema, Microsoft ha declarado que no tiene planes para solucionar la vulnerabilidad. Según Microsoft, el comportamiento es una decisión de diseño destinada a “garantizar que al menos una cuenta de usuario siempre tenga la capacidad de iniciar sesión, sin importar cuánto tiempo haya estado un sistema fuera de línea”. Esta decisión, sin embargo, prioriza una funcionalidad de nicho sobre la seguridad de sus usuarios.
Además, la reticencia de Microsoft a abordar el problema se debe a la preocupación por romper la compatibilidad con las aplicaciones existentes. Según los informes, los ingenieros de Redmond intentaron modificar el código para eliminar la puerta trasera, pero abandonaron el esfuerzo porque los cambios podrían romper la compatibilidad con una característica de Windows de la que muchas aplicaciones aún dependen. Esto pone de manifiesto un conflicto entre la seguridad y la compatibilidad con versiones anteriores, donde Microsoft ha optado por priorizar esta última, dejando a los usuarios vulnerables.
La gravedad de esta vulnerabilidad se ve subrayada por el hecho de que Microsoft ya había sido advertida sobre esta puerta trasera por otros investigadores en agosto de 2023. Esta advertencia previa, sin embargo, no provocó ninguna acción para solucionar el problema. La falta de una solución, junto con la explicación de Microsoft, sugiere una decisión consciente de mantener este fallo de seguridad, exponiendo potencialmente a millones de usuarios a riesgos significativos.
El Protocolo de Escritorio Remoto (RDP) de Microsoft presenta una grave vulnerabilidad de seguridad: contraseñas previamente usadas (y posiblemente revocadas o comprometidas) aún permiten el acceso remoto a máquinas Windows, afectando versiones desde Windows XP. A pesar de ser alertada sobre esta falla de seguridad, Microsoft se niega a solucionarla, alegando problemas de compatibilidad. Millones de usuarios están potencialmente en riesgo, y Microsoft justifica esta conducta como una elección de diseño deliberada para asegurar el acceso constante. Se recomienda implementar autenticación de múltiples factores y auditar regularmente el uso de RDP para mitigar esta vulnerabilidad inherente.
Leave a Reply