Säkerhetsforskare har för andra gången slagit larm om en säkerhetsbrist i Microsofts Remote Desktop Protocol (RDP), rapporterar Techspot. Användare som ansluter till en dator släpps in med gamla lösenord även efter att lösenordet har ändrats av användaren eller nollställts av en administratör.

Analytikern Daniel Wade upptäckte nyligen att RDP godkänner alla lösenord som någon gång har använts för att logga in lokalt på en dator och systemet raderar inte lagrade lösenord efter att de har bytts ut. Det innebär att en fjärranvändare kan fortsätta att logga in med det gamla lösenordet.

När han rapporterade om sin upptäckt till Microsoft svarade företaget till hans stora förvåning att det inte är en bugg utan fungerar som avsett. Enligt Microsoft är RDP designat så här för att se till att ”åtminstone en användare alltid kan logga in oavsett hur länge ett system har varit avstängt”.

Förra gången Microsoft uppmärksammades på denna egenhet var i augusti 2023, och enligt Techcrunch försökte företagets utvecklare bli av med den men misslyckades. Den enda lösning de hittade fick nämligen flera andra viktiga Windows-funktioner att sluta fungera.

I kommentarerna under artikeln på Techspot påpekar läsaren ”brucek” att samma egenhet även kan vara ett problem från andra sidan: På en ny dator där användaren aldrig har loggat in med lösenord utan enbart med Windows Hello går det inte alls att logga in med RDP.