Závažná zranitelnost v Windows RDP: Proč Microsoft neplánuje opravu

V uplynulých dnech bezpečnostní výzkumník Daniel Wade odhalil kritickou chybu v protokolu Remote Desktop Protocol (RDP) od Microsoftu, která umožňuje opětovné použití odvolaných přihlašovacích údajů. I když správce systému resetuje heslo k účtu Microsoft či Azure, staré heslo může nadále fungovat pro vzdálené připojení k počítači.

Jak zranitelnost funguje

1. Konfigurace RDP na Windows PC přihlášeném k účtu Microsoft/Azure vytváří lokálně uloženou cache ověřovacích dat.
2. Při vzdáleném přihlášení se nové heslo neověřuje okamžitě proti síti, ale nejprve proti této lokální cache.
3. Pokud je cache platná, uživatel získá přístup i v režimu offline – a to i po změně hesla v cloudu.

Proč je to nebezpečné

• Útočník, který dříve získal přihlašovací údaje, je může nadále využívat bez viditelné stopy, protože ani Defender, Azure ani Entra ID tuto aktivitu nehlásí.
• Neexistují žádné jasné indikátory nebo logy, které by správci varovaly před použitím starých hesel.

Reakce Microsoftu

• MSRC uznalo popsané chování, avšak odmítlo ho klasifikovat jako chybu či zranitelnost, protože je prý úmyslné.
• Oficiální dokumentace doplněná v dubnu 2025 upozorňuje, že lokální cache se při změně hesla v cloudu neaktualizuje, a proto staré heslo zůstává funkční.
• Microsoft je si problému vědom od srpna 2023, ale úpravy kódu by podle něj způsobily kompatibilitní problémy, a tak se oprava odkládá.

Co dělat jako administrátor

• Pravidelně auditujte offline přístupy a vymažte staré credential cache na kritických strojích.
• Zvažte nasazení multifaktorové autentizace (MFA) pro RDP, která výrazně snižuje riziko zneužití odcizených hesel.
• Monitorujte nestandardní přihlašovací aktivity a vytvářejte vlastní SIEM pravidla pro podezřelé offline logony.

I když Microsoft nepřipravuje opravu, je na organizacích, aby minimalizovaly riziko. Nasazení MFA a důkladný monitoring mohou zabránit neoprávněnému přístupu i přes tuto děravou funkcionalitu.