微软目前拒绝修复Windows远程桌面协议(RDP)存在的重大安全隐患。安全研究员丹尼尔·韦德(Daniel Wade)近期向微软安全响应中心提交的报告显示,系统允许用户通过已失效的缓存密码继续访问设备。这意味着即使修改账户密码,攻击者仍可能利用旧密码通过RDP协议入侵计算机。
微软官方回应称这是出于系统设计的特殊考量,强调该机制能防止用户因密码丢失而被永久锁闭在系统之外。公司明确表示不会调整现有功能,并将此情况排除在“安全漏洞”定义之外。值得关注的是,该功能既没有提供关闭选项,也不允许用户自行禁用。
密码失效机制的信任危机在此暴露无遗。通常情况下,密码修改应立即终止所有旧凭证的访问权限。但在RDP场景中,系统不仅继续承认旧密码的有效性,还不会向用户发送任何安全警报。当密码已遭泄露时,这种设计将形成持续性安全缺口——理论上黑客可以无限期使用被盗密码实施入侵。
微软早在2023年8月就收到相关技术报告,但以“维护应用程序兼容性”为由拒绝整改。目前官方建议用户通过两种方式降低风险:使用组策略限制RDP访问权限,或直接完全禁用RDP远程控制功能。
