Корпорация Microsoft внедрила новые средства защиты в Windows для противодействия фишинговым атакам, использующим файлы подключений к удаленному рабочему столу (.rdp), добавив предупреждения и отключив по умолчанию рискованные общие ресурсы.
Файлы RDP часто используются в корпоративных средах для подключения к удаленным системам, поскольку администраторы могут предварительно настроить их для автоматической перенаправления локальных ресурсов на удаленный узел.
Злоумышленники все чаще злоупотребляют этой функцией в фишинговых кампаниях. Российская спонсируемая государством хакерская группа APT29 ранее использовала вредоносные файлы RDP для удаленной кражи данных и учетных данных жертв.
При открытии эти файлы могут подключаться к системам, контролируемым злоумышленником, и перенаправлять локальные диски на подключенное устройство, что позволяет устройству под контролем злоумышленника красть файлы и учетные данные, хранящиеся на диске.
Они также могут перехватывать данные буфера обмена, такие как пароли или конфиденциальный текст, или перенаправлять механизмы аутентификации, такие как смарт-карты или Windows Hello, для выдачи себя за пользователей.
Выпуск новых защитных мер для RDP
В рамках кумулятивных обновлений за апрель 2026 года для Windows 10 (KB5082200) и Windows 11 (KB5083769 и KB5082052) Microsoft выпустила новые средства защиты, чтобы предотвратить использование вредоносных файлов подключений RDP на устройствах.
“Вредоносные акторы злоупотребляют этой возможностью, отправляя файлы RDP через фишинговые электронные письма”, — предупреждает Microsoft.
“Когда жертва открывает файл, ее устройство незаметно подключается к серверу, контролируемому злоумышленником, и предоставляет доступ к локальным ресурсам, предоставляя злоумышленнику доступ к файлам, учетным данным и многому другому”.
После установки этого обновления при первом открытии файла RDP пользователям будет показано одноразовое информационное уведомление, объясняющее, что такое файлы RDP и предупреждающее о связанных с ними рисках. Затем пользователям Windows будет предложено подтвердить, что они понимают риски, и нажать ОК, что предотвратит повторное появление этого оповещения.
При последующих попытках открыть файлы RDP теперь будет отображаться диалоговое окно безопасности перед установлением какого-либо соединения.
В этом диалоговом окне отображается, подписан ли файл RDP проверенным издателем, адрес удаленной системы и перечисляются все перенаправления локальных ресурсов, такие как диски, буфер обмена или устройства, при этом все опции по умолчанию отключены.
Если файл не подписан цифровой подписью, Windows отображает предупреждение “Внимание: Неизвестное удаленное подключение” и помечает издателя как неизвестного, указывая на невозможность проверить, кто создал файл.
Если файл RDP подписан цифровой подписью, Windows покажет издателя, но все равно посоветует проверить его легитимность перед подключением.
Следует отметить, что эти новые средства защиты применяются только к подключениям, инициированным открытием файлов RDP, а не к тем, которые выполняются через клиент Windows Remote Desktop.
Microsoft заявляет, что администраторы могут временно отключить эти средства защиты, перейдя к разделу реестра HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client и изменив значение RedirectionWarningDialogVersion на 1.
Однако, поскольку файлы RDP исторически использовались в атаках, настоятельно рекомендуется оставлять эти средства защиты включенными.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lawrence Abrams
