Windows用户遭殃，电脑面临被侵入而微软拒绝修复

PH值

电手

正值五一，无论是 PC 圈还是手机圈，都安静了许多。而老油子微软却在这个时候疯狂搞事情，比如前两天给大伙儿报道的 Windows取消了密码登录，但反手就掏出了「令牌验证」Passkey。


这边讨论还没结束呢，微软在安全方面又搞了幺蛾子，这也是咱们今天要讲的 RDP。全称是 Remote Desktop Protocol，也就是 Windows 的远程桌面。



大伙儿或多或少都听过它的大名。优点是它是微软自家基于 TPC/IP 开发的 RDP 协议，占用资源较少，并且完全不限速，也就是说，它的速度完全取决于你的宽带上传上限。



但缺点就是除了局域网条件，外网控制需要固定的公网 IP，或者使用内网穿透的方式才能够连接。之前普通人很难拿到 IPv4 的公网 IP，大伙儿没啥感觉，基本使用的都是 VNC 协议的远程软件，但 IPv6 的逐渐普及让它又开始活跃了起来。



而最近独立安全研究员 Daniel Wade 发现了 RDP 的重大安全漏洞：当使用 Microsoft 或 Azure 账户登录的 Windows 计算机配置为启用远程桌面访问时，可以使用被撤销的密码通过 RDP 登录，绕过云身份验证、多因素身份验证和条件访问策略，即使来自全新的计算机也是如此。



使用微软账户登录或者微软 Azure 账户登录的电脑，配置打开了 RDP 后，如果微软账户密码或者 Azure 密码泄露，就算被用户觉察到，在线更改密码后，使用旧的账户密码依然可以RDP控制该账户登录的电脑，并且是永久性访问。不过报告给微软后，微软表示，这已经不是第一次有人发现这个漏洞了，早在 2023 年就有人报告过此类问题。



但微软认为如果修复漏洞会导致一部分应用不兼容，并且表示这个 Bug 是一种设计决策，以确保无论系统离线多长时间（脱机使用），至少有一个用户账户始终能够登录，所以不属于漏洞。



罪魁祸首就是 RDP 的验证机制，用微软账户或者 Azure 第一次登录控制时，RDP 会在线确认密码有效性，然后会把这个密码加密存在本地，等到以后再次使用该账户控制访问的时候，就只对比本地凭证了，不会在线对比账户密码。为此，微软还特地在 RDP 文档中更新了提醒：



也就是说，更改完密码后没有在被控端同步，新密码可能还无法连接上，并且这种访问也不会在微软账户 Defender、Entra ID 和Azure 上有任何提醒。



目前唯一的解决方式就是在被控制端建立本地账户，只使用本地 RDP 验证凭据，并且需要经常手动更新密码凭证。



但讽刺的是，微软从 Windows10 就开始推广微软账户登录使用，并且还在 Windows11 中砍掉了跳过联网的按钮。





在最新的 Windows11 中还封禁了重新打开跳过联网的脚本。现如今 Win10、Win11 的用户占据 Windows 绝大部分市场；

但 Win10 已停更在即，本地账户还能坚持多久，就看微软的良心了。

数据来源：arstechnica、微软社区、statcounter，图源网络。