Một lỗ hổng bảo mật trên Windows có "cửa hậu" cho phép đăng nhập bằng mật khẩu cũ.

Một phát hiện đáng lo ngại vừa được công bố bởi các nhà nghiên cứu bảo mật độc lập, khi giao thức Remote Desktop Protocol (RDP) tích hợp sẵn trong Windows tồn tại một lỗ hổng nghiêm trọng, cho phép người dùng vẫn có thể đăng nhập vào máy tính từ xa bằng mật khẩu cũ, ngay cả khi mật khẩu đó đã bị thay đổi hoặc thu hồi.

Điều gây sốc hơn nữa là Microsoft đã xác nhận hành vi này, nhưng khẳng định đó là một "tính năng" được thiết kế có chủ đích và hãng không có kế hoạch "sửa lỗi" vì lo ngại phá vỡ tính tương thích hệ thống.

Giao diện các cửa sổ RDP trên Windows.

Lỗ hổng, hay "tính năng" theo cách gọi của Microsoft, nằm ở cách RDP xử lý việc xác thực. Giao thức này dường như ưu tiên kiểm tra và chấp nhận các mật khẩu đã từng được sử dụng và lưu trong bộ nhớ đệm (cache) trên máy tính cục bộ. Điều này có nghĩa là, nếu một kẻ tấn công biết được mật khẩu cũ của bạn, hoặc nếu một mật khẩu bị lộ trong một vụ vi phạm trước đó, họ vẫn có thể sử dụng nó để truy cập vào hệ thống qua RDP, bất chấp việc bạn đã đổi sang mật khẩu mới mạnh hơn.

Hành vi này hoàn toàn đi ngược lại các nguyên tắc bảo mật cơ bản và khiến người dùng lầm tưởng rằng việc đổi mật khẩu đã đủ để bảo vệ họ. Đáng chú ý, các nền tảng bảo mật của Microsoft như Entra ID, Azure hay Defender cũng không hề cảnh báo về nguy cơ này.

Vấn đề này không hề mới. Công nghệ RDP (trước đây là Terminal Services) đã tồn tại từ thời Windows NT 4.0 (1998) và lỗ hổng này được cho là ảnh hưởng đến mọi phiên bản Windows Professional và Server kể từ Windows XP. Điều đó đồng nghĩa với việc hàng triệu máy tính cá nhân, doanh nghiệp nhỏ và hệ thống lớn trên toàn cầu đều có khả năng bị ảnh hưởng. Mặc dù nhà phân tích Daniel Wade mới báo cáo lại vấn đề gần đây, Microsoft thừa nhận đã được các nhà nghiên cứu khác cảnh báo về "cửa hậu" này từ tháng 8/2023.

Vậy tại sao Microsoft lại không khắc phục một rủi ro rõ ràng như vậy? Gã khổng lồ phần mềm giải thích rằng đây là "quyết định thiết kế" nhằm đảm bảo luôn có ít nhất một tài khoản có thể đăng nhập được vào hệ thống, phòng trường hợp máy tính ngoại tuyến quá lâu không cập nhật được thông tin mật khẩu mới nhất.

Microsoft cũng tiết lộ đã thử sửa đổi mã nguồn RDP nhưng phải dừng lại vì những thay đổi đó có thể làm hỏng khả năng tương thích với các ứng dụng hoặc tính năng cũ hơn của Windows mà nhiều hệ thống vẫn đang phụ thuộc.

Dù Microsoft có lý do của hãng, việc duy trì một cơ chế cho phép sử dụng mật khẩu cũ để đăng nhập rõ ràng là một rủi ro bảo mật đáng kể. Người dùng và các quản trị viên hệ thống cần phải nhận thức rõ về "tính năng" này và không nên hoàn toàn tin tưởng vào việc chỉ đổi mật khẩu là đủ an toàn khi sử dụng RDP. Việc xem xét các biện pháp bảo mật bổ sung như xác thực đa yếu tố (nếu có thể), giới hạn truy cập RDP hoặc tìm kiếm các giải pháp truy cập từ xa thay thế có thể là điều cần thiết.