Im Falle eines Angriffs oder bei Kenntnis von kompromittierten Zugangsdaten widerrufen Admins die Passwörter und lassen diese neu setzen. Allerdings bleiben die alten Passwörter gültig, sofern der Zugriff mit Remote-Desktop-Protokoll (RDP) aktiviert ist. So können sich Angreifer mit alten, widerrufenen Passwörtern anmelden. Microsoft plant keine Änderungen.

Arstechnica berichtet von diesem unerwarteten Verhalten. Der IT-Sicherheitsforscher Daniel Wade hat dem Microsoft Security Response Center (MSRC) dieses Verhalten demnach berichtet. Alte Zugangsdaten funktionieren laut ihm in RDP weiterhin, auch auf neuen Maschinen. Windows Defender, Azure oder Entra ID liefern keine Warnungen. Für Nutzer gibt es keinen eindeutigen Weg, dieses Problem aufzudecken und zu korrigieren.

Es handelt sich dabei laut Microsoft um eine "Design-Entscheidung, die sicherstellt, dass mindestens ein Nutzerkonto dazu in der Lage ist, sich anzumelden, ganz gleich, wie lange das System offline war". Dieses Verhalten treffe daher die Definition einer Schwachstelle nicht. Microsoft habe keine Pläne, etwas daran zu ändern.

Mit einer Aktualisierung der Online-Dokumentation zu Windows-Login-Szenarien hat Microsoft auf Wades Sicherheitsmeldung reagiert: "Sofern User ein lokales Log-in ausführen, werden ihre Zugangsdaten lokal gegen eine zwischengespeicherte Kopie verifiziert, bevor eine Authentifizierung über Identity-Provider im Netz erfolgt. Sofern die Verifikation über den Zwischenspeicher erfolgreich verläuft, erhalten User Zugriff, auch wenn die Maschine offline ist. Sofern Nutzerinnen und Nutzer ihr Passwort in der Cloud ändern, wird der lokale Zwischenspeicher nicht aktualisiert, was bedeutet, dass sie auf ihre lokale Maschine noch mit dem alten Passwort zugreifen können".

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE