-
Công an Hà Nội thông báo mới nhất từ 6h sáng mai đến 05/9
-
Cận cảnh lực lượng trinh sát đặc nhiệm luôn che kín mặt, âm thầm bảo vệ an ninh cho buổi sơ duyệt diễu binh diễu hành
-
Hà Nội tạm cấm, hạn chế phương tiện tại 3 tuyến đường từ 28/8 đến 5/9
-
30 phút đào bớt đất cứu 2 cán bộ bị nhà sập đè khi đang giúp dân di dời
-
Bộ Chính trị yêu cầu một bộ sách giáo khoa thống nhất trên toàn quốc
-
Tin vui về thời tiết Hà Nội "chiều lòng" người dân đi xem sơ duyệt diễu binh, diễu hành A80
-
Chiến sĩ trẻ nén nỗi đau mất cha, quyết tâm hoàn thành nhiệm vụ A80
-
Cận cảnh: Lực lượng Công binh tất bật rà phá bom mìn, đảm bảo an toàn tuyệt đối trước buổi sơ duyệt diễu binh diễu hành A80
-
Đây là vị trí hàng chục điểm gửi xe gần khu vực diễu binh nhất, người dân phải xem ngay
-
Có 2 bé gái nhưng muốn trọn vẹn, người mẹ IVF để có con trai: "Nhưng ông trời không cho ai tất cả"
-
Có 700 triệu trong tay, tôi muốn mua ô tô nhưng chồng lại nằng nặc đòi cho em trai mượn
-
Chung cư Hà Nội bị cô lập, hàng xóm xuyên đêm nấu cháo, đồ xôi, luộc gà tiếp tế
-
Xếp ghế, trải bạt ở vỉa hè để bán chỗ xem diễu binh, diễu hành sẽ bị xử lý ra sao?
-
Không gửi, không nhận nhưng vẫn bị liên quan đến vụ chuyển khoản 500 triệu đồng, nam sinh 2003 bị công an đưa đi
-
Kinh hoàng khoảnh khắc đất đá bất ngờ đổ ập xuống đường quốc lộ ở Lào Cai: 3 giây khiến tất cả hú vía!
-
Cô gái MMA kể tường tận thời điểm "hạ gục" nam thanh niên xăm trổ trong hầm gửi xe
-
Khóa ghế, căng bạt trên phố trước 10 tiếng chờ xem sơ duyệt diễu binh
-
Vụ cướp tiệm vàng ở Đà Nẵng: Nghi phạm người Mỹ, lấy hơn 830 triệu đồng
-
Nam thanh niên tử vong trong phòng trọ, nghi ngạt khói than
-
Vừa sang tên sổ đỏ cho con trưởng, chưa kịp nghỉ ngơi tuổi già thì hai tháng sau, con bóng gió nói một câu làm vợ tôi khóc suốt đêm
Công nghệ
06/05/2025 14:37Windows có lỗ hổng nghiêm trọng, Microsoft biết nhưng từ chối sửa
Một phát hiện đáng lo ngại vừa được công bố bởi các nhà nghiên cứu bảo mật độc lập, khi giao thức Remote Desktop Protocol (RDP) tích hợp sẵn trong Windows tồn tại một lỗ hổng nghiêm trọng, cho phép người dùng vẫn có thể đăng nhập vào máy tính từ xa bằng mật khẩu cũ, ngay cả khi mật khẩu đó đã bị thay đổi hoặc thu hồi.
Điều gây sốc hơn nữa là Microsoft đã xác nhận hành vi này, nhưng khẳng định đó là một "tính năng" được thiết kế có chủ đích và hãng không có kế hoạch "sửa lỗi" vì lo ngại phá vỡ tính tương thích hệ thống.

Lỗ hổng, hay "tính năng" theo cách gọi của Microsoft, nằm ở cách RDP xử lý việc xác thực. Giao thức này dường như ưu tiên kiểm tra và chấp nhận các mật khẩu đã từng được sử dụng và lưu trong bộ nhớ đệm (cache) trên máy tính cục bộ. Điều này có nghĩa là, nếu một kẻ tấn công biết được mật khẩu cũ của bạn, hoặc nếu một mật khẩu bị lộ trong một vụ vi phạm trước đó, họ vẫn có thể sử dụng nó để truy cập vào hệ thống qua RDP, bất chấp việc bạn đã đổi sang mật khẩu mới mạnh hơn.
Hành vi này hoàn toàn đi ngược lại các nguyên tắc bảo mật cơ bản và khiến người dùng lầm tưởng rằng việc đổi mật khẩu đã đủ để bảo vệ họ. Đáng chú ý, các nền tảng bảo mật của Microsoft như Entra ID, Azure hay Defender cũng không hề cảnh báo về nguy cơ này.
Vấn đề này không hề mới. Công nghệ RDP (trước đây là Terminal Services) đã tồn tại từ thời Windows NT 4.0 (1998) và lỗ hổng này được cho là ảnh hưởng đến mọi phiên bản Windows Professional và Server kể từ Windows XP. Điều đó đồng nghĩa với việc hàng triệu máy tính cá nhân, doanh nghiệp nhỏ và hệ thống lớn trên toàn cầu đều có khả năng bị ảnh hưởng. Mặc dù nhà phân tích Daniel Wade mới báo cáo lại vấn đề gần đây, Microsoft thừa nhận đã được các nhà nghiên cứu khác cảnh báo về "cửa hậu" này từ tháng 8/2023.
Vậy tại sao Microsoft lại không khắc phục một rủi ro rõ ràng như vậy? Gã khổng lồ phần mềm giải thích rằng đây là "quyết định thiết kế" nhằm đảm bảo luôn có ít nhất một tài khoản có thể đăng nhập được vào hệ thống, phòng trường hợp máy tính ngoại tuyến quá lâu không cập nhật được thông tin mật khẩu mới nhất.
Microsoft cũng tiết lộ đã thử sửa đổi mã nguồn RDP nhưng phải dừng lại vì những thay đổi đó có thể làm hỏng khả năng tương thích với các ứng dụng hoặc tính năng cũ hơn của Windows mà nhiều hệ thống vẫn đang phụ thuộc.
Dù Microsoft có lý do của hãng, việc duy trì một cơ chế cho phép sử dụng mật khẩu cũ để đăng nhập rõ ràng là một rủi ro bảo mật đáng kể. Người dùng và các quản trị viên hệ thống cần phải nhận thức rõ về "tính năng" này và không nên hoàn toàn tin tưởng vào việc chỉ đổi mật khẩu là đủ an toàn khi sử dụng RDP. Việc xem xét các biện pháp bảo mật bổ sung như xác thực đa yếu tố (nếu có thể), giới hạn truy cập RDP hoặc tìm kiếm các giải pháp truy cập từ xa thay thế có thể là điều cần thiết.








- Công an Hà Nội thông báo mới nhất từ 6h sáng mai đến 05/9 (18 phút trước)
- Cận cảnh lực lượng trinh sát đặc nhiệm luôn che kín mặt, âm thầm bảo vệ an ninh cho buổi sơ duyệt diễu binh diễu hành (25 phút trước)
- NÓNG: Một trường ĐH bố trí 1.200 chỗ ở miễn phí cho người dân tới Hà Nội tham dự Lễ diễu binh, diễu hành 2/9 (1 giờ trước)
- "Hốt bạc" nhờ bán nước, cho thuê ghế xem diễu binh, diễu hành (1 giờ trước)
- Kinh hoàng cảnh 2 cuộn tôn rơi xuống đường phố TP HCM (2 giờ trước)
- "Phú bà" showbiz tuyên bố nuôi vợ cũ của chồng cả đời, chủ động tăng tiền cấp dưỡng gấp 20 lần (2 giờ trước)
- Nội bộ Barcelona tranh cãi vì tiền vệ 70 triệu euro (3 giờ trước)
- Mỹ nhân xinh nhất Tổng hợp luyện A80 lần 3: Ăn gì mà đẹp dữ dội, ảnh cận mặt cam thường còn mê hơn (3 giờ trước)
- 🔴 Trực tiếp: Các khối diễu binh Quân đội tỏa ra các tuyến phố Hà Nội (3 giờ trước)
- Bắt quả tang 6 cặp nam nữ mua bán dâm trong 2 cơ sở massage ở Đắk Lắk (3 giờ trước)



