O protocolo desenvolvido pela Microsoft para facilitar as ligações remotas a máquinas Windows contém uma falha de segurança grave. No entanto, a Microsoft declarou que não tem planos para corrigir o problema, pois fazê-lo elimina a compatibilidade com muitas aplicações.
Investigadores independentes descobriram, ou redescobriram, uma grande vulnerabilidade de segurança no Remote Desktop Protocol (RDP) da Microsoft. Anteriormente conhecido como Terminal Services, o RDP parece ter sido concebido para validar sempre uma palavra-passe previamente utilizada para ligações remotas a uma máquina Windows, mesmo quando essa palavra-passe foi revogada por um administrador de sistema ou comprometida numa falha de segurança.
A tecnologia RDP remonta à era do Windows NT 4.0, um sistema operativo de 32 bits lançado em 1998. Desde o Windows XP, todas as versões profissionais ou de servidor do Windows incluem um cliente RDP, oficialmente conhecido como Remote Desktop Connection. Isto significa que, de acordo com os investigadores, todas as versões do Windows desde os tempos dos modems analógicos de 56 Kbps são afectadas por esta vulnerabilidade recentemente (re)descoberta.
O analista Daniel Wade reportou o problema à Microsoft no início deste mês. A falha viola as práticas de segurança operacional (opsec) universalmente reconhecidas – e mais ainda. Quando uma palavra-passe é alterada, não devia ser possível usá-la para aceder remotamente a esse sistema. “As pessoas confiam que mudar a sua palavra-passe corta automaticamente o acesso não autorizado”, disse Wade.
Os investigadores descobriram que o RDP continua a aceitar palavras-passe que foram utilizadas uma vez e que agora estão em cache numa máquina local. O Windows armazena as palavras-passe validadas num local criptograficamente seguro no disco, e mesmo máquinas novas podem usar a palavra-passe antiga para aceder a outros sistemas.
As plataformas online de gestão e segurança da Microsoft – incluindo o Entra ID, Azure e Defender – não dão quaisquer alarmes, e as passwords mais recentes podem ser ignoradas enquanto as mais antigas ainda funcionam.
Além disso, a Microsoft forneceu pouca informação aos utilizadores sobre este comportamento do protocolo RDP. Os investigadores concluíram que milhões de utilizadores – quer em casa ou em configurações empresariais – estão em risco. Quando questionada sobre o assunto, a Microsoft confirmou que a tecnologia RDP está a funcionar como pretendido.
De acordo com a Microsoft, o comportamento é uma decisão de design destinada a “garantir que pelo menos uma conta de utilizador tenha sempre a capacidade de fazer login, independentemente do tempo que um sistema esteve offline.”
Em Agosto de 2023, a empresa já tinha sido avisada sobre esta backdoor por outros investigadores. Programadores da Microsoft alegadamente tentaram modificar o código para a eliminar, mas abandonaram o esforço, porque as alterações poderiam eliminar a compatibilidade com uma funcionalidade do Windows da qual muitas aplicações ainda dependem.
