Giao thức Remote Desktop Protocol (RDP) do Microsoft phát triển để hỗ trợ kết nối từ xa đến các máy tính Windows đang tồn tại một lỗ hổng bảo mật nghiêm trọng. Dù vậy, Microsoft tuyên bố họ sẽ không vá lỗi này vì việc đó có thể làm gián đoạn hoạt động của nhiều ứng dụng hiện có.
Các nhà nghiên cứu độc lập mới đây đã phát hiện — hay chính xác hơn là phát hiện lại — một lỗ hổng lớn trong RDP, công nghệ trước đây có tên là Terminal Services. Theo phân tích, RDP luôn cho phép xác thực bằng mật khẩu cũ đã từng được sử dụng để kết nối từ xa, ngay cả khi mật khẩu đó đã bị thu hồi hoặc bị rò rỉ. Nói cách khác, nếu một mật khẩu bị đánh cắp và sau đó được người dùng thay đổi, mật khẩu cũ vẫn có thể dùng để đăng nhập từ xa thông qua RDP.
RDP có từ thời Windows NT 4.0 — hệ điều hành 32-bit đầu tiên ra mắt năm 1998 — và đã được tích hợp sẵn trong mọi phiên bản Windows chuyên nghiệp hoặc máy chủ kể từ Windows XP. Điều này có nghĩa là mọi hệ điều hành Windows từ thời modem dial-up 56 Kbps đều có khả năng bị ảnh hưởng bởi lỗ hổng này.
Nhà phân tích Daniel Wade đã báo cáo vấn đề lên Microsoft trong tháng này. Anh cho biết: “Người dùng tin rằng việc đổi mật khẩu sẽ chặn được truy cập trái phép. Nhưng với lỗi này, điều đó không còn đúng nữa”. Wade cho rằng lỗ hổng này vi phạm nghiêm trọng các nguyên tắc bảo mật cơ bản trong vận hành hệ thống.
Theo các nhà nghiên cứu, giao thức Remote Desktop Protocol của Microsoft tiếp tục chấp nhận những mật khẩu đã từng được sử dụng – dù đã bị thay đổi – nếu chúng đã được lưu (cached) trên máy tính cục bộ. Dù Windows lưu các mật khẩu đã xác thực trong một vùng mã hóa an toàn trên ổ đĩa, những máy hoàn toàn mới vẫn có thể dùng mật khẩu cũ đó để truy cập từ xa vào hệ thống khác.
Đáng chú ý, các nền tảng quản lý và bảo mật của Microsoft như Entra ID, Azure hay Defender hoàn toàn không phát hiện hành vi bất thường này. Trong nhiều trường hợp, mật khẩu mới có thể bị hệ thống bỏ qua trong khi mật khẩu cũ vẫn hoạt động bình thường.
Microsoft cũng không công bố rộng rãi hành vi kỳ lạ này của RDP. Theo nhóm nghiên cứu, điều này khiến hàng triệu người dùng – từ cá nhân, văn phòng nhỏ tại nhà cho đến doanh nghiệp – đều đang đứng trước nguy cơ bị truy cập trái phép. Khi được yêu cầu phản hồi, Microsoft xác nhận đây là hành vi “đúng thiết kế”, không phải lỗi.
Cụ thể, theo Microsoft, quyết định thiết kế này nhằm “đảm bảo ít nhất một tài khoản người dùng luôn có thể đăng nhập, ngay cả khi hệ thống đã ngoại tuyến trong thời gian dài”.
Đáng nói, lỗ hổng dạng “cửa hậu” (backdoor) này đã từng được cảnh báo bởi một nhóm nghiên cứu khác vào tháng 8 năm 2023, khiến phân tích mới không đủ điều kiện nhận thưởng theo chương trình săn lỗi bảo mật (bug bounty) của Microsoft. Được biết, các kỹ sư tại Microsoft từng thử chỉnh sửa mã nguồn để loại bỏ lỗ hổng, nhưng sau cùng đã từ bỏ vì việc này có thể phá vỡ một tính năng của Windows mà nhiều ứng dụng vẫn đang phụ thuộc.
