-
Hà Nội: Đường Võ Chí Công ngập từ đêm đến sáng, giao thông ùn tắc kéo dài
-
Nếu đã chán gà luộc hoặc rang lá chanh, thử ngay công thức này: Ngon đậm đà lại có vị chua thanh mát cực hao cơm
-
SUV sang Lexus LX phi "băng băng" qua vùng ngập nước sâu nhận kết đắng
-
Bé trai Hà Nội đi cấp cứu sau 30 phút chơi slime mềm dẻo nhiều trẻ ưa thích
-
Thanh Hằng bị "tấn công"
-
Cục trưởng A05: KOL như Chu Thanh Huyền, Phạm Thoại, Thùy Tiên... tạo dư luận xấu trong xã hội
-
Thủ tướng Thụy Điển bị chỉ trích vì hay "xin ý kiến" ChatGPT để điều hành đất nước
-
Tiếc cho ca sĩ Bích Phương
-
10 công chúa đẹp nhất Trung Quốc: Lưu Diệc Phi chỉ xếp thứ 6, hạng 1 đến cả thần tiên cũng không sánh bằng
-
Bài đăng của chủ quán lươn ở TP.HCM gây xôn xao: Danh tính chủ nhân 2 chỉ vàng
Công nghệ
06/05/2025 14:37Windows có lỗ hổng nghiêm trọng, Microsoft biết nhưng từ chối sửa
Một phát hiện đáng lo ngại vừa được công bố bởi các nhà nghiên cứu bảo mật độc lập, khi giao thức Remote Desktop Protocol (RDP) tích hợp sẵn trong Windows tồn tại một lỗ hổng nghiêm trọng, cho phép người dùng vẫn có thể đăng nhập vào máy tính từ xa bằng mật khẩu cũ, ngay cả khi mật khẩu đó đã bị thay đổi hoặc thu hồi.
Điều gây sốc hơn nữa là Microsoft đã xác nhận hành vi này, nhưng khẳng định đó là một "tính năng" được thiết kế có chủ đích và hãng không có kế hoạch "sửa lỗi" vì lo ngại phá vỡ tính tương thích hệ thống.

Lỗ hổng, hay "tính năng" theo cách gọi của Microsoft, nằm ở cách RDP xử lý việc xác thực. Giao thức này dường như ưu tiên kiểm tra và chấp nhận các mật khẩu đã từng được sử dụng và lưu trong bộ nhớ đệm (cache) trên máy tính cục bộ. Điều này có nghĩa là, nếu một kẻ tấn công biết được mật khẩu cũ của bạn, hoặc nếu một mật khẩu bị lộ trong một vụ vi phạm trước đó, họ vẫn có thể sử dụng nó để truy cập vào hệ thống qua RDP, bất chấp việc bạn đã đổi sang mật khẩu mới mạnh hơn.
Hành vi này hoàn toàn đi ngược lại các nguyên tắc bảo mật cơ bản và khiến người dùng lầm tưởng rằng việc đổi mật khẩu đã đủ để bảo vệ họ. Đáng chú ý, các nền tảng bảo mật của Microsoft như Entra ID, Azure hay Defender cũng không hề cảnh báo về nguy cơ này.
Vấn đề này không hề mới. Công nghệ RDP (trước đây là Terminal Services) đã tồn tại từ thời Windows NT 4.0 (1998) và lỗ hổng này được cho là ảnh hưởng đến mọi phiên bản Windows Professional và Server kể từ Windows XP. Điều đó đồng nghĩa với việc hàng triệu máy tính cá nhân, doanh nghiệp nhỏ và hệ thống lớn trên toàn cầu đều có khả năng bị ảnh hưởng. Mặc dù nhà phân tích Daniel Wade mới báo cáo lại vấn đề gần đây, Microsoft thừa nhận đã được các nhà nghiên cứu khác cảnh báo về "cửa hậu" này từ tháng 8/2023.
Vậy tại sao Microsoft lại không khắc phục một rủi ro rõ ràng như vậy? Gã khổng lồ phần mềm giải thích rằng đây là "quyết định thiết kế" nhằm đảm bảo luôn có ít nhất một tài khoản có thể đăng nhập được vào hệ thống, phòng trường hợp máy tính ngoại tuyến quá lâu không cập nhật được thông tin mật khẩu mới nhất.
Microsoft cũng tiết lộ đã thử sửa đổi mã nguồn RDP nhưng phải dừng lại vì những thay đổi đó có thể làm hỏng khả năng tương thích với các ứng dụng hoặc tính năng cũ hơn của Windows mà nhiều hệ thống vẫn đang phụ thuộc.
Dù Microsoft có lý do của hãng, việc duy trì một cơ chế cho phép sử dụng mật khẩu cũ để đăng nhập rõ ràng là một rủi ro bảo mật đáng kể. Người dùng và các quản trị viên hệ thống cần phải nhận thức rõ về "tính năng" này và không nên hoàn toàn tin tưởng vào việc chỉ đổi mật khẩu là đủ an toàn khi sử dụng RDP. Việc xem xét các biện pháp bảo mật bổ sung như xác thực đa yếu tố (nếu có thể), giới hạn truy cập RDP hoặc tìm kiếm các giải pháp truy cập từ xa thay thế có thể là điều cần thiết.








- Hà Nội: Đường Võ Chí Công ngập từ đêm đến sáng, giao thông ùn tắc kéo dài (14:12)
- Hai nhóm hỗn chiến vì mâu thuẫn vay lãi nặng, sát hại nhầm người đi đường (14:05)
- Đề xuất chủ tịch xã xử phạt vi phạm giao thông (14:01)
- Nếu đã chán gà luộc hoặc rang lá chanh, thử ngay công thức này: Ngon đậm đà lại có vị chua thanh mát cực hao cơm (14:01)
- Khó cứu: Triệu Vy sắp ra đường ở vì chồng tỷ phú báo hại (25 phút trước)
- Cha mẹ càng nghèo càng hào phóng hai điều này: Kết quả gia đình kiệt quệ, con cái thiệt thòi! (30 phút trước)
- Trung Quốc "dốc toàn lực" dập dịch Chikungunya (32 phút trước)
- SUV sang Lexus LX phi "băng băng" qua vùng ngập nước sâu nhận kết đắng (33 phút trước)
- Lệ Quyên đưa luật sư vào cuộc vụ Lâm Bảo Châu bị tung tin đồn lừa tình, lấy biệt thự hàng trăm tỷ (35 phút trước)
- Lừa làm bùa phép trúng vé số độc đắc, người phụ nữ bị bắt (35 phút trước)



