4 Minute
Una dintre cele mai insidioase căi de atac în IT-ul enterprise a devenit mult mai greu de abuzat. Cu actualizările cumulative din aprilie 2026 pentru Windows 10 și Windows 11, Microsoft întărește protecțiile pentru Remote Desktop Protocol, modestul fișier RDP și mica manevră discretă pe care atacatorii o foloseau pentru a-l transforma într-o armă de tip phishing.
La prima vedere, un fișier RDP pare suficient de inofensiv. Este doar o scurtătură pentru o conexiune la distanță, genul de fișier pe care administratorii de sistem și echipele de suport îl schimbă toată ziua. Dar tocmai din acest motiv este periculos. Dacă deschizi unul compromis, sistemul tău poate fi determinat să se conecteze la un server controlat de atacatori, expunând unitățile locale, conținutul clipboard-ului și chiar date de autentificare înainte să-ți dai seama ce s-a întâmplat.
Un fișier familiar, un risc foarte real
Aceasta nu este un scenariu teoretic de laborator. APT29, grupul legat de statul rus, cunoscut și pentru campanii de spionaj discrete, a folosit deja în natură fișiere RDP compromise pentru a colecta acreditări și a extrage date de la victime vizate. Metoda funcționează pentru că nu pare un atac. Pare un document. Unul plictisitor. Asta este problema.
Microsoft a încercat de mult să avertizeze utilizatorii când un fișier RDP pare suspicios. Dacă fișierul nu este semnat, Windows afișează un avertisment care spune, în esență, că conexiunea la distanță este necunoscută și editorul nu poate fi verificat. Chiar dacă fișierul este semnat, Windows solicită totuși utilizatorilor să confirme editorul înainte de a se realiza orice conexiune. O semnătură poate ajuta la stabilirea identității, dar nu face automat fișierul sigur.
Ce se schimbă după actualizare
Noul strat de protecție adaugă mai multă fricțiune exact acolo unde trebuie. Prima dată când deschizi un fișier RDP după instalarea actualizării, Windows va afișa un mesaj informativ unic care explică ce face fișierul și de ce poate fi riscant. După aceea, fiecare lansare directă a unui fișier RDP declanșează o fereastră de securitate înainte ca conexiunea să poată continua.
Acea solicitare este mai utilă decât avertismentul generic obișnuit. Afișează dacă fișierul provine de la un editor verificat, semnat digital. De asemenea, arată adresa la distanță pe care urmează să o contactezi și listează resursele locale pe care fișierul dorește să le redirecționeze, precum accesul la clipboard, unități și dispozitive conectate. Nimic nu este partajat în mod implicit. Trebuie să permiți activ partajarea. Acesta este toată ideea.
Există un detaliu important. Aceste avertismente se aplică doar atunci când un fișier RDP este deschis direct. Dacă folosești clientul standard Windows Remote Desktop, experiența rămâne neschimbată. Pentru echipele IT care au nevoie neapărat să dezactiveze prompturile, Microsoft oferă o soluție prin registru. Dar, având în vedere cât de eficientă a fost abuzarea fișierelor RDP în atacurile din lumea reală, dezactivarea mecanismelor de siguranță ar fi o mișcare riscantă.
În termeni practici, Microsoft face ceea ce echipele de securitate cer de ani de zile: transformă o conveniență periculoasă într-una puțin mai puțin comodă și mult mai sigură.
Acest compromis îi va deranja probabil pe câțiva utilizatori avansați. Bine. Securitatea face adesea asta. Dar dacă alegerea este între un clic în plus și a oferi unui atacator clipboard-ul, fișierele locale sau datele de autentificare, răspunsul este evident.
Lasă un Comentariu