Microsoft ha confirmado que su Protocolo de Escritorio Remoto (RDP) permite el acceso a equipos con Windows mediante credenciales de inicio de sesión que han sido previamente modificadas o revocadas.
La compañía ha declarado que no tiene previsto alterar esta funcionalidad, describiéndola como una decisión de diseño deliberada y no como una vulnerabilidad de seguridad.
Este asunto se dio a conocer tras la comunicación del investigador de seguridad independiente Daniel Wade al Centro de Respuesta de Seguridad de Microsoft. Wade informó que, en determinadas circunstancias, RDP sigue permitiendo el acceso remoto con contraseñas obsoletas, incluso después de que un usuario haya actualizado su contraseña como resultado de una brecha de seguridad o por prácticas de higiene de seguridad habituales.
Las conclusiones de Wade, detalladas en un informe de Ars Technica, alertan sobre cómo este comportamiento compromete la confianza de los usuarios en la eficacia del cambio de contraseñas como método para impedir el acceso no autorizado.
«Esto no es sólo un error. Es una ruptura de confianza», escribió Wade. «La gente confía en que cambiar su contraseña cortará el acceso no autorizado. ¿El resultado? Millones de usuarios (en casa, en pequeñas empresas o en entornos de trabajo híbridos) están en riesgo sin saberlo».
La vulnerabilidad surge de cómo Windows maneja la autenticación para sesiones RDP vinculadas a cuentas de Microsoft o Azure. Cuando un usuario inicia sesión con dicha cuenta, Windows verifica la contraseña en línea y luego almacena localmente una versión protegida criptográficamente.
Para inicios de sesión RDP posteriores, el sistema verifica la contraseña ingresada con este caché local en lugar de revalidarla en línea. Si la contraseña coincide con cualquier credencial almacenada en caché previamente válida, incluso una que haya sido modificada o revocada, otorga acceso.
Esto significa que incluso después de que se haya cambiado una contraseña en la nube, la contraseña anterior sigue siendo válida para RDP indefinidamente. En algunos casos, es posible que varias contraseñas antiguas funcionen, mientras que la más nueva no.
Los profesionales de seguridad han expresado preocupación por las implicaciones. Will Dormann, analista senior de vulnerabilidades de Analygence, señaló: «No tiene sentido desde una perspectiva de seguridad. Si soy administrador de sistemas, esperaría que en el momento en que cambie la contraseña de una cuenta, las credenciales antiguas de esa cuenta no se puedan usar en ninguna parte. Pero este no es el caso».
La falla elude efectivamente la verificación en la nube, la autenticación multifactor y las políticas de acceso condicional, creando una puerta trasera persistente para los atacantes que han obtenido credenciales antiguas, se lee en el informe publicado.
Microsoft dice: «No es una vulnerabilidad de seguridad»
A pesar de los riesgos, Microsoft se ha negado a clasificar el comportamiento como un error o vulnerabilidad. La compañía dice que el diseño garantiza que al menos una cuenta de usuario siempre pueda iniciar sesión, incluso si el sistema ha estado desconectado durante un largo período.
Microsoft ha actualizado su documentación para advertir a los usuarios, pero no ha proporcionado una guía clara sobre cómo mitigar el riesgo más allá de sugerir que RDP se configure para autenticarse solo con credenciales almacenadas localmente.
Un portavoz de Microsoft confirmó que la compañía está al tanto del problema desde al menos agosto de 2023, pero sostiene que cambiar el comportamiento podría romper la compatibilidad con las aplicaciones existentes.
- Cambiar su contraseña de Microsoft o Azure no revoca inmediatamente el acceso RDP para las credenciales antiguas.
- No hay alertas ni advertencias claras cuando se utilizan contraseñas antiguas para iniciar sesión en RDP.
- Las herramientas de seguridad de Microsoft, incluidas Defender y Azure, no detectan este comportamiento.
Por ahora, los expertos recomiendan que las organizaciones revisen sus configuraciones de RDP y consideren limitar el acceso remoto o aplicar la autenticación local para reducir la exposición.
La postura de Microsoft deja a millones de personas en riesgo, lo que pone de relieve una desconexión fundamental entre las expectativas de los usuarios sobre la seguridad de las contraseñas y las realidades del diseño RDP de Windows.
