A Microsoft új védelmi funkciót vezet be a Windows rendszerben az RDP fájlokkal visszaélő adathalász támadások ellen, így a figyelmeztetések mellett, alapértelmezetten tiltásra kerülnek a kockázatosnak tűnő megosztott erőforrások.
- Az RDP fájlokat gyakran használják vállalati környezetben távoli rendszerekhez való csatlakozáshoz, mivel a rendszergazdák előre konfigurálják azokat, hogy automatikusan átirányítsák a helyi erőforrásokat egy távoli gépre.
A kiberbűnözők a különböző adathalász kampányok során egyre gyakrabban élnek vissza ezzel a funkcióval, például az Oroszországhoz köthető APT29 korábban rosszindulatú RDP fájlokat használt az áldozatok információinak és hitelesítőadatainak távolról történő megszerzéséhez. A fájlok megnyitásakor azok csatlakoznak a támadók által irányított rendszerekhez, amelyekhez átirányítják a helyi meghajtókat, így a támadók képesek ellopni a lemezen tárolt fájlokat és hitelesítő adatokat.
Az új védelem a Windows 10 (KB5082200) és a Windows 11 (KB5083769 és KB5082052) 2026. áprilisi frissítésének részeként került kiadásra. A funkció célja, hogy megakadályozza a rosszindulatú RDP kapcsolatfájlok használatát az eszközön. A Microsoft elmondása szerint az új védelmi funkció mellett, mikor a felhasználók először nyitnak meg egy RDP fájlt, figyelmeztető üzenet jelenik meg a lehetséges kockázatokról és arra kérik a felhasználókat, hogy erősítsék meg, hogy megértették és elfogadják ezeket. Az RDP fájlok megnyitását követően megjelenítésre kerül, hogy az RDP fájlt aláírta-e egy ellenőrzött résztvevő, a távoli rendszer címe és felsorolásra kerül az összes helyi erőforrás-átirányítás is. Amennyiben egy fájl nincs digitálisan aláírva, a Windows újabb figyelmeztetést küld, hogy csatlakozás előtt ajánlott ellenőrizni a közzétevő jogosultságait.
Érdemes megjegyezni, hogy ezek a védelmi funkciók csak az RDP fájlok megnyitásával kezdeményezett kapcsolatokra vonatkoznak, a Windows Remote Desktop kliensen keresztül létrehozott kapcsolatokra nem.