獨立安全研究員 Daniel Wade 向 Microsoft 安全響應中心報告稱,在某些情況下,Windows 遠程桌面協議(RDP)仍然接受舊密碼進行遠程訪問,即使用戶因密碼泄露或常規安全維護而更改了密碼。Wade 的調查結果被 Ars Technica 詳細報道,警告這種行為破壞了用戶對密碼更改的信任,削弱了通過更改密碼阻止未經授權訪問的安全防線。微軟已確認,RDP 允許用戶使用已更改或撤銷的密碼登錄 Windows 計算機。微軟方面表示,這并非安全漏洞,而是“有意的設計決策”,且沒有計劃改變這一行為。只要密碼與任何先前有效的緩存憑證匹配,即使該憑證已被更改或撤銷,系統仍會授予訪問權限。微軟發言人證實,公司至少從2023年8月起就已意識到該問題,但堅持認為立即更改此行為可能會破壞與現有應用程序的兼容性
查閱相關資料發現,類似問題早在2020年就有用戶在技術論壇反饋。該問題主要涉及登錄微軟賬戶的設備。用戶“dyasta”表示,使用微軟賬戶登錄 Windows 系統時,更改密碼后舊密碼仍能在先前已認證的設備上無限期使用。他舉例稱,自己一年前更改的密碼至今仍可用舊密碼登錄系統。有用戶推測,這與系統的憑證緩存機制有關。Windows 為了支持無網絡訪問時的登錄,會緩存用戶憑證,但無限期保留舊憑證在安全層面難以解釋,因為用戶通常期望密碼更改后舊憑證立即失效。實測顯示,在 Windows 11 登錄微軟賬號時,修改密碼后舊密碼仍可登錄。論壇上猜測微軟賬戶的運作機制與活動目錄域類似。為確保計算機在無網絡連接時用戶仍能登錄,系統會緩存微軟賬戶憑證。例如,在 Windows 8 系統中,若通過網頁更改微軟賬戶密碼,緩存的登錄憑證不會自動更新,必須使用新密碼成功登錄 Windows 系統后才會刷新緩存。此設計旨在防止計算機完全失去網絡連接且無本地管理員賬戶時,用戶因密碼過期而無法訪問系統,也無法修復網絡連接進行新憑證驗證。因此,新密碼將在首次登錄時替換舊密碼,密碼更改最終會使舊憑證失效,只是失效時機并非用戶預期的密碼更改瞬間。
在 Microsoft 賬戶網站更改密碼后,必須通過注銷或鎖定系統,并使用新密碼重新登錄,才能更新本地計算機上的密碼緩存。不建議使用 PIN 碼或圖片密碼登錄,因為這些方式不會觸發對微軟身份驗證服務器的實際密碼驗證,系統仍會接受緩存的舊密碼。因此,當您在線更改密碼時,建議始終注銷或鎖定系統,并至少使用 Microsoft 賬戶密碼在本地登錄一次,以確保憑證及時更新,防止舊密碼繼續被接受。
參考鏈接:
https://cybersecurityboard.com/windows-rdp-bug-allows-login-with-expired-passwords
https://www.dell.com/support/kbdoc/zh-cn/000134994
https://security.stackexchange.com/questions/230860/after-changing-microsoft-password-one-can-still-login-to-previously-authenticat/230891#230891
?
閱讀原文:原文鏈接
該文章在 2025/5/6 12:14:50 編輯過
400 186 1886
