Σε μια αποκάλυψη που προκάλεσε σοκ, η Microsoft επιβεβαίωσε ότι σε ορισμένες περιπτώσεις, ένας παλιός κωδικός πρόσβασης στα Windows, ακόμη και αν έχει αλλάξει και θεωρηθεί άκυρος, μπορεί να συνεχίσει να δίνει πρόσβαση στον λογαριασμό.
Κι αν νομίζεις ότι πρόκειται για σφάλμα ασφαλείας, η Microsoft διαφωνεί: πρόκειται για χαρακτηριστικό και όχι για πρόβλημα – και δεν σκοπεύει να το αλλάξει.
Πότε ένας άκυρος κωδικός είναι ακόμη… έγκυρος;
Όπως αποκάλυψε πρώτος ο Dan Goodin για το Ars Technica, το πρόβλημα εντοπίζεται στο Remote Desktop Protocol (RDP) – το σύστημα απομακρυσμένης σύνδεσης που επιτρέπει σε χρήστες να χρησιμοποιούν έναν υπολογιστή Windows σαν να κάθονταν μπροστά του.
Το RDP είναι ήδη αγαπημένο εργαλείο κυβερνοεγκληματιών και τώρα αποκαλύπτεται ότι ακόμη και ακυρωμένοι κωδικοί μπορούν να χρησιμοποιηθούν επιτυχώς για είσοδο, χωρίς καμία προειδοποίηση ασφαλείας.
Ο κωδικός άλλαξε στο cloud – αλλά όχι τοπικά
Ο ανεξάρτητος ερευνητής ασφαλείας Daniel Wade εντόπισε ότι ακόμη και αφού άλλαξε τον κωδικό πρόσβασης του λογαριασμού του, μπορούσε να εισέλθει ξανά χρησιμοποιώντας τον παλιό κωδικό από νέο μηχάνημα.
Η Microsoft παραδέχθηκε τελικά ότι το σύστημα εξακολουθεί να ελέγχει έναν τοπικά αποθηκευμένο (cached) κωδικό, προτού προχωρήσει σε επιβεβαίωση μέσω του δικτύου. Και αν ο κωδικός έχει αλλάξει στο cloud, η τοπική μνήμη δεν ενημερώνεται, άρα ο παλιός κωδικός συνεχίζει να λειτουργεί.
Η Microsoft λέει πως… έτσι το σχεδίασε
Όταν ο Wade απευθύνθηκε στο κέντρο ανταπόκρισης της Microsoft για ζητήματα ασφαλείας, η απάντηση που έλαβε ήταν ότι πρόκειται για σκόπιμη σχεδίαση ώστε «τουλάχιστον ένας λογαριασμός χρήστη να μπορεί πάντα να εισέλθει, ανεξαρτήτως πόσο καιρό είναι offline το σύστημα».
Στην πράξη, αυτό σημαίνει ότι αν κάποιος έχει τοπική πρόσβαση σε έναν υπολογιστή ή χρησιμοποιεί RDP, μπορεί να προσπαθήσει να εισέλθει με παλιούς κωδικούς που ίσως εξακολουθούν να λειτουργούν, χωρίς το σύστημα να σηκώσει κάποιον συναγερμό.
Δεν υπάρχει λύση για τον τελικό χρήστη
Το πιο ανησυχητικό είναι ότι ο χρήστης δεν έχει κανέναν τρόπο να εντοπίσει ή να διορθώσει το πρόβλημα, παρά μόνο να κάνει πλήρη επανεκκίνηση με αποσύνδεση από τον λογαριασμό και εκκαθάριση της τοπικής cache – κάτι που ελάχιστοι γνωρίζουν πώς να κάνουν.
Η Microsoft, προς το παρόν, έκανε μόνο μια αλλαγή στη σχετική τεκμηρίωση, εξηγώντας ότι η επαλήθευση γίνεται πρώτα τοπικά.
VIA: FoxReport.gr
