Trong bối cảnh công nghệ phát triển không ngừng, các thiết bị Windows luôn là tâm điểm của sự chú ý, không chỉ về tính năng mà còn về những vấn đề tiềm ẩn liên quan đến bảo mật. Mặc dù hệ điều hành này đã trải qua hàng thập kỷ cải tiến, nhưng đôi khi vẫn còn những “tàn dư” mã nguồn cũ kỹ gây ra các sự cố bất ngờ. Một ví dụ điển hình là việc các máy tính Windows XP từng có thể bị treo nếu bài hát Rhythm Nation của Janet Jackson được phát gần đó. Mới đây, một vấn đề nghiêm trọng khác đã được phát hiện liên quan đến giao thức Remote Desktop Protocol (RDP) của Windows, đặt ra rủi ro bảo mật đáng báo động, nhưng Microsoft lại từ chối phân loại đây là một lỗi.
Windows RDP: Tiện Lợi Đến Mấy Cũng Tiềm Ẩn Rủi Ro Bảo Mật Khó Lường
Các công cụ truy cập máy tính từ xa phổ biến, minh họa tính năng của giao thức Remote Desktop Protocol (RDP)
Windows Remote Desktop Protocol (RDP) là giao thức độc quyền của Microsoft cho phép người dùng kết nối và truy cập từ xa vào các máy tính chạy hệ điều hành Windows. Đây là công cụ không thể thiếu đối với nhiều quản trị viên IT trong các tổ chức, giúp họ khắc phục sự cố hoặc quản lý tài khoản người dùng một cách hiệu quả. Tuy nhiên, nếu bị kẻ xấu lợi dụng, RDP có thể trở thành một cánh cửa nguy hiểm dẫn đến hệ thống của bạn.
Daniel Wade, một nhà nghiên cứu bảo mật (thông tin từ Ars Technica), đã phát hiện một lỗ hổng bảo mật đặc biệt nghiêm trọng trong Windows RDP. Theo đó, giao thức này cho phép các thông tin đăng nhập đã bị thu hồi (mật khẩu cũ) vẫn có thể hoạt động trong một số trường hợp nhất định. Điều này có nghĩa là ngay cả khi bạn đã thay đổi mật khẩu cho tài khoản Windows RDP, kẻ tấn công vẫn có thể kết nối từ xa với máy chủ bằng mật khẩu cũ.
Lỗ hổng này xảy ra khi một máy tính Windows đăng nhập bằng tài khoản Microsoft hoặc Azure được cấu hình để sử dụng RDP. Người dùng đã xác thực có thể truy cập máy tính này từ xa bằng mật khẩu chuyên dụng được xác thực với thông tin đăng nhập được lưu trữ cục bộ, hoặc thông qua tài khoản Microsoft/Azure. Tuy nhiên, Wade phát hiện ra rằng ngay cả khi mật khẩu của tài khoản trực tuyến này được đặt lại, mật khẩu cũ vẫn có thể được sử dụng để truy cập RDP, đây là một lỗ hổng lớn.
Will Dormann, một nhà phân tích lỗ hổng bảo mật khác, đã nhận xét rằng: “Điều này không có ý nghĩa từ góc độ bảo mật. Nếu tôi là quản trị viên hệ thống, tôi sẽ mong đợi rằng ngay khi tôi thay đổi mật khẩu của một tài khoản, thì thông tin đăng nhập cũ của tài khoản đó không thể được sử dụng ở bất kỳ đâu. Nhưng đây không phải là trường hợp thực tế.”
Wade cũng nhấn mạnh thêm rằng các dịch vụ bảo mật của Microsoft như Defender, Azure và Entra ID đều không gắn cờ hành vi này là bất thường. Hơn nữa, không có dấu hiệu rõ ràng nào cho thấy hoạt động truy cập bằng mật khẩu cũ đang diễn ra, và tài liệu của Microsoft về chủ đề này cũng khá mơ hồ.
Microsoft Khẳng Định: “Đó Là Tính Năng, Không Phải Lỗi”
Giao diện laptop Windows 11, một ví dụ về hệ điều hành Microsoft, nơi lỗ hổng bảo mật RDP có thể tồn tại
Trước báo cáo của Daniel Wade, Trung tâm Phản hồi Bảo mật của Microsoft (MSRC) đã thừa nhận hành vi này nhưng từ chối phân loại đó là một lỗi hay lỗ hổng. Microsoft tuyên bố rằng đây là một thiết kế có chủ đích, nhằm đảm bảo “ít nhất một tài khoản người dùng luôn có khả năng đăng nhập bất kể hệ thống đã offline bao lâu.” Mặc dù vậy, công ty đã cập nhật tài liệu chính thức của mình tại learn.microsoft.com, trong đó có đoạn cảnh báo:
Lưu ý
Khi người dùng thực hiện đăng nhập cục bộ, thông tin đăng nhập của họ được xác minh cục bộ dựa trên một bản sao đã lưu vào bộ nhớ cache trước khi được xác thực với nhà cung cấp danh tính qua mạng. Nếu xác minh bộ nhớ cache thành công, người dùng sẽ có quyền truy cập vào máy tính để bàn ngay cả khi thiết bị đang ngoại tuyến. Tuy nhiên, nếu người dùng thay đổi mật khẩu của họ trên đám mây, trình xác minh đã lưu vào bộ nhớ cache không được cập nhật, điều đó có nghĩa là họ vẫn có thể truy cập máy cục bộ bằng mật khẩu cũ của mình.
Điều đáng chú ý là Microsoft đã biết về vấn đề này ít nhất từ tháng 8 năm 2023. Tuy nhiên, khi nhận được các báo cáo về cái gọi là “lỗi” này vào thời điểm đó, hãng đã xem xét thiết kế và tài liệu triển khai, và cuối cùng quyết định rằng việc sửa đổi mã nguồn sẽ gây ra các vấn đề tương thích, nên chi phí không xứng đáng với lợi ích mang lại. Như vậy, khả năng cao là gã khổng lồ Redmond sẽ không vá lỗ hổng “tính năng” này, mặc dù lẽ ra việc thay đổi mật khẩu của một dịch vụ phải có nghĩa là không thể sử dụng mật khẩu cũ để truy cập lại.
Tóm lại, lỗ hổng bảo mật Windows RDP cho phép sử dụng mật khẩu cũ đã bị thu hồi để truy cập từ xa là một rủi ro tiềm ẩn mà người dùng và quản trị viên IT cần đặc biệt lưu ý. Mặc dù Microsoft không coi đây là một lỗi, nhưng điều này không làm giảm mức độ nguy hiểm của nó. Việc nắm rõ cơ chế này và áp dụng các biện pháp bảo mật bổ sung là điều cần thiết để bảo vệ hệ thống của bạn khỏi các mối đe dọa không mong muốn. Bạn nghĩ sao về quan điểm của Microsoft và vấn đề bảo mật này? Hãy để lại bình luận bên dưới!