Le commentaire vient après la découverte que Windows permet à l’utilisation de mots de passe révoqués.
Les CISO autorisant l’accès à distance aux machines Windows via le protocole de bureau distant (RDP) devraient repenser leur stratégie après que la découverte qui a changé ou révoqué des mots de passe peut toujours fonctionner, explique un expert.
«J’ai été désagréablement surpris» d’entendre parler de la vulnérabilité, a déclaré David Shipley, responsable de la société canadienne de formation de sensibilisation à la sécurité, Beauceron Security, dans une interview.
«Je m’attendais à ce que la révocation des informations d’identification signifiait révoquer les références.»
« Le RDP aux bureaux des gens est une décision vraiment risquée pour commencer, qui se terminera probablement en larmes dans de nombreux cas », a-t-il déclaré. « Mais pour le rendre plus risqué en disant une fois que l’on a réussi à connecter et à s’authentifier, une version mise en cache des informations d’identification a été sauvée et cela fonctionnera pour toujours » Yiii, hah! » Pour les attaquants, je suppose.
Les CISO « devraient vraiment reconsidérer l’accès à distance à distance et utiliser des outils Microsoft », a-t-il dit, « et / ou appelant leur représentant (Microsoft) et en disant: » Ce n’est pas OK. « »
Shipley répondait à un rapport dans ARS Technica que Microsoft a récemment été averti par le chercheur en sécurité Daniel Wade qu’un défaut dans Windows Remote Desktop Protocol (RDP) permet aux mots de passe précédemment modifiés d’être utilisés pour se connecter à un compte, permettant à un acteur de menace avec des informations d’identification volées d’accès à distance à un ordinateur.
Même après qu’un utilisateur ait modifié le mot de passe de son compte, l’ancien mot de passe fonctionnera toujours pour une connexion RDP. Dans certains cas, dit l’histoire, Wade a découvert que plusieurs mots de passe plus anciens fonctionneront alors que les plus récents ne le feront pas.
La raison: Windows ou Azure stockent les premières informations d’identification de connexion RDP sur une machine locale. Après cela, Windows valide les connexions RDP par rapport à ces informations d’identification.
Cela signifie qu’un attaquant pourrait avoir un accès RDP persistant à une machine Windows qui contourne la vérification du cloud, l’authentification multifactrice et les politiques d’accès conditionnel.
Selon l’actualité, Microsoft a déclaré que le comportement est «une décision de conception pour s’assurer qu’au moins un compte d’utilisateur a toujours la capacité de se connecter, peu importe la durée d’un système hors ligne». En tant que tel, Microsoft a déclaré que le comportement ne répond pas à la définition d’une vulnérabilité de sécurité et que les ingénieurs de l’entreprise n’ont pas l’intention de le changer.
Les administrateurs de Windows ne sont souvent pas au courant de la mise en cache des informations d’identification, a déclaré Johannes Ullrich, doyen de la recherche au Sans Institute. « La fonctionnalité est censée rendre moins probable qu’un administrateur soit déconnecté de son système. Pour éviter cela, RDP mettra en cache le dernier ensemble d’identification utilisé, au cas où le serveur ne serait pas en mesure de se connecter au serveur d’authentification (qui, ces jours, est souvent dans le cloud).
Pour exploiter cela, a ajouté Ullrich, un attaquant doit d’abord apprendre les anciennes informations d’identification, et ils doivent les utiliser avant que l’administrateur n’utilise leurs nouvelles informations d’identification. « La sécurisation du RDP est cependant une tâche critique, et pas facile, même sans ce problème. Les administrateurs doivent trouver des moyens d’offrir une authentification forte et ils doivent isoler autant que possible les points de terminaison RDP », a-t-il déclaré.
Shipley est déconcerté. «C’est un excellent exemple de, pour tous nos discours sur zéro confiance… en ce qui concerne le domaine le plus important pour appliquer – une validation continue – apparemment, cela ne correspond pas comme par magie.»
« Ce que je ne comprends pas », a ajouté Shipley, « c’est pourquoi ce n’est pas une option configurable pour les organisations. S’ils disent que cela va casser une sorte de compatibilité des logiciels de plate-forme, et cetera, laissez votre client passer cet appel. »
« Ce que je ne comprends pas non plus, c’est comment cela correspond à tous les points de vantardise des 12 derniers, 18 mois (que) Microsoft fait avec la future initiative sécurisée et prenant la sécurité au sérieux maintenant. »
