Microsoft ha revelado una característica sorprendente y potencialmente arriesgada en el Protocolo de Escritorio Remoto (RDP) de Windows, que permite el acceso a computadoras incluso después de que un usuario haya cambiado su contraseña. RDP permite el inicio de sesión y control remotos de una máquina, y esta elección de diseño, destinada a evitar que los usuarios queden bloqueados, significa que las contraseñas antiguas pueden seguir funcionando, incluso después de un cambio, dejando a muchos usuarios vulnerables.
Microsoft ha tomado una decisión controvertida con respecto a su Protocolo de Escritorio Remoto (RDP) en Windows, una decisión que ha generado preocupación entre los expertos en seguridad. Específicamente, la compañía ha optado por mantener un diseño que permite a los usuarios iniciar sesión en máquinas utilizando contraseñas revocadas, incluso después de que hayan sido cambiadas.
Este comportamiento aparentemente contradictorio proviene del objetivo declarado de Microsoft de evitar que los usuarios queden bloqueados fuera de sus sistemas. Según Microsoft, este diseño asegura que al menos una cuenta de usuario siempre conserve la capacidad de iniciar sesión, independientemente del tiempo que un sistema haya estado fuera de línea. Esta es una elección de diseño deliberada, no un error, según la compañía.
Sin embargo, esta elección de diseño contradice directamente la expectativa común de que cambiar una contraseña revoca inmediatamente el acceso utilizando las credenciales antiguas. Como señaló el investigador de seguridad Daniel Wade en su informe al Centro de Respuesta de Seguridad de Microsoft, este comportamiento socava una práctica de seguridad fundamental. “La gente confía en que cambiar su contraseña cortará el acceso no autorizado”, escribió Wade, enfatizando el papel crítico de los cambios de contraseña en la mitigación de las brechas de seguridad.
El informe de Wade proporcionó instrucciones detalladas para reproducir el comportamiento, destacando la facilidad con la que las contraseñas antiguas aún se pueden usar para acceder a un sistema a través de RDP. Además, subrayó la gravedad del problema al señalar que esto elude medidas de seguridad críticas.
Las implicaciones de este diseño son de gran alcance. El informe de Wade destacó varios aspectos preocupantes de este comportamiento. Primero, las credenciales antiguas continúan funcionando para RDP incluso desde máquinas nuevas. Segundo, las herramientas de seguridad como Defender, Entra ID y Azure no marcan este comportamiento inusual. Tercero, no existe un método claro para que los usuarios finales detecten o rectifiquen este problema. Finalmente, la documentación de Microsoft no ofrece orientación directa sobre este escenario.
Las consecuencias de esta elección de diseño son significativas. Millones de usuarios, incluidos los de casa, en pequeñas empresas y en entornos de trabajo híbridos, están expuestos sin saberlo a posibles riesgos de seguridad. Esta vulnerabilidad podría permitir que personas no autorizadas obtengan acceso a datos y sistemas confidenciales, incluso después de que un usuario haya tomado la medida aparentemente segura de cambiar su contraseña.
La falta de una solución o incluso el reconocimiento del problema por parte de Microsoft es particularmente preocupante. La postura de la compañía de que este comportamiento no es una vulnerabilidad de seguridad, y por lo tanto no se abordará, ha provocado críticas de los profesionales de la seguridad. Esta decisión deja a los usuarios vulnerables y contradice los principios fundamentales de la seguridad de las contraseñas.
En esencia, el diseño de Microsoft prioriza la accesibilidad sobre la revocación inmediata de las credenciales comprometidas. Si bien la intención puede ser prevenir los bloqueos de usuarios, la consecuencia no deseada es un riesgo de seguridad significativo que podría conducir al acceso no autorizado y a las filtraciones de datos. La falta de una solución clara o incluso una advertencia de Microsoft deja a los usuarios en una posición precaria, sin saber las posibles vulnerabilidades dentro de sus sistemas.
El Protocolo de Escritorio Remoto (RDP) de Microsoft sigue permitiendo inicios de sesión con contraseñas revocadas, una decisión de diseño que, aunque previene bloqueos, crea un riesgo de seguridad importante. El investigador de seguridad Daniel Wade destacó esta falla, señalando que socava la confianza del usuario y deja a millones vulnerables, pero Microsoft considera que no es una vulnerabilidad y no la solucionará.
Considere revisar las prácticas de seguridad RDP de su organización y explorar soluciones de acceso remoto más seguras.
Leave a Reply