Una recente scoperta nel campo della sicurezza informatica ha sollevato preoccupazioni significative riguardo al protocollo Remote Desktop Protocol (RDP) di Microsoft. Secondo quanto riportato da Red Hot Cyber, il ricercatore Daniel Wade ha evidenziato che RDP consente l’accesso ai sistemi Windows anche utilizzando password precedentemente modificate o revocate. Microsoft ha confermato che questo comportamento non è una vulnerabilità, ma una scelta progettuale intenzionale, e non prevede di modificarne il funzionamento.
Dettagli della Scoperta
Il problema risiede nella gestione dell’autenticazione per le sessioni RDP associate ad account Microsoft o Azure. Quando un utente accede con un account di questo tipo, Windows verifica la password online e ne memorizza localmente una versione protetta crittograficamente. Per i successivi accessi RDP, il sistema verifica la password inserita con questa cache locale anziché riconvalidarla online. Se la password corrisponde a una credenziale precedentemente valida e memorizzata nella cache, anche se modificata o revocata, concede l’accesso.
Ciò implica che, anche dopo aver modificato una password nel cloud, la vecchia password rimane valida per RDP a tempo indeterminato. In alcuni casi, più password precedenti potrebbero funzionare, mentre la più recente no.
Implicazioni per la Sicurezza
Questo comportamento solleva serie preoccupazioni tra i professionisti della sicurezza. Will Dormann, analista senior delle vulnerabilità presso Analygence, ha osservato: “Non ha senso dal punto di vista della sicurezza. Se fossi un amministratore di sistema, mi aspetterei che nel momento in cui cambio la password di un account, le vecchie credenziali di quell’account non possano più essere utilizzate da nessuna parte. Ma non è così”.
La falla aggira efficacemente la verifica cloud, l’autenticazione multifattore e i criteri di accesso condizionale, creando una backdoor persistente per gli aggressori che hanno ottenuto vecchie credenziali.
Posizione di Microsoft
Nonostante i rischi evidenziati, Microsoft si è rifiutata di classificare il comportamento come bug o vulnerabilità. L’azienda afferma che il design garantisce che almeno un account utente possa sempre accedere, anche se il sistema è rimasto offline per un lungo periodo. Microsoft ha aggiornato la propria documentazione per avvisare gli utenti, ma non ha fornito indicazioni chiare su come mitigare il rischio, oltre a suggerire di configurare RDP per l’autenticazione solo con credenziali archiviate localmente.
Raccomandazioni per gli Utenti
Gli esperti raccomandano alle organizzazioni di rivedere le proprie configurazioni RDP e di valutare la possibilità di limitare l’accesso remoto o di imporre l’autenticazione locale per ridurre l’esposizione. È consigliabile monitorare attentamente gli accessi remoti e implementare misure di sicurezza aggiuntive per proteggere i sistemi da accessi non autorizzati.
Marco Stella è un esperto di management, cybersecurity e consulenza informatica con oltre 15 anni di esperienza. Specializzato nella gestione di progetti complessi, opera a livello internazionale nei settori dell’entertainment e dei parchi di divertimento. È titolare di ITParks, CEO di Best Italy Srls, CIO e DPO di MCM Marchetti Costruzioni Meccaniche Srl e consulente anziano per Disney. La sua carriera è caratterizzata da un approccio strategico e innovativo, sempre orientato all’eccellenza operativa e tecnologica.