Представлены средства защиты Windows против фишинга с файлами подключения к удалённому рабочему столу

Microsoft представила новые средства защиты Windows для противодействия фишинговым атакам, использующим файлы подключения к удалённому рабочему столу (.rdp). Организация добавила предупреждения и отключила по умолчанию опасные общие ресурсы.

Файлы RDP широко используются в корпоративных средах для подключения к удалённым системам, поскольку администраторы могут предварительно настроить их для автоматического перенаправления локальных ресурсов на удалённый сервер.

Злоумышленники всё чаще злоупотребляют этой функциональностью в фишинговых кампаниях. При открытии эти файлы могут подключаться к системам, контролируемым злоумышленниками, и перенаправлять локальные диски на подключённое девайс, позволяя красть файлы и учётные информация, хранящиеся на диске. Хакеры также могут перехватывать информация из буфера обмена, такие как пароли или конфиденциальный текст, или перенаправлять механизмы аутентификации, такие как смарт-карты или Windows Hello, для выдачи себя за других пользователей. 

В контексте апрельских накопительных обновлений 2026 года для Windows 10 (KB5082200) и Windows 11 (KB5083769 и KB5082052) Microsoft выпустила новые средства защиты, предотвращающие использование вредоносных файлов RDP-подключения на устройствах.

После установки этого обновления при первом открытии файла RDP отображается одноразовое сообщение, объясняющее, что такое эти файлы, и предупреждающее об их рисках. Пользователям Windows будет предложено подтвердить, что они понимают риски, и нажать кнопку «ОК». При последующих попытках открытия файлов RDP теперь будет отображаться диалоговое окно безопасности перед установлением любого соединения. Это диалоговое окно показывает, подписан ли файл RDP проверенным издателем, адрес удалённой системы, а равным образом перечисляет все перенаправления локальных ресурсов, такие как диски, буфер обмена или устройства, одновременно все параметры по умолчанию отключены.

Если файл не имеет цифровой подписи, Windows отображает предупреждение «Внимание: Неизвестное удалённое соединение» и помечает издателя как неизвестного, указывая на отсутствие возможности проверить, кто разработал файл. Если файл RDP имеет цифровую подпись, Windows отобразит издателя, но все равно предупредит о необходимости проверить его легитимность перед подключением. Следует подчеркнуть, что эти новые меры защиты применяются только к соединениям, инициированным открытием файлов RDP, а не к соединениям, установленным через клиент удалённого рабочего стола Windows.

Microsoft заявляет, что администраторы могут временно выключить эти средства защиты, перейдя в раздел реестра HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client и изменив значение параметра RedirectionWarningDialogVersion на 1.

В феврале Microsoft обновила Secure Boot — ключевой модуль безопасности Windows, гарантирующий, что при нажатии кнопки питания будут запускаться только доверенные операционные системы. Компания выпустила новые сертификаты.