Нов риск, стар инструмент

Microsoft обяви нови защитни механизми в Windows, насочени срещу нарастващ брой фишинг атаки, използващи Remote Desktop (.rdp) файлове като входна точка.

Този тип файлове традиционно се използват в корпоративна среда за бързо свързване към отдалечени системи, но същата функционалност все по-често се превръща в инструмент за атака.

Как работи атаката

Злонамерени изпращат RDP файлове чрез фишинг имейли. При отваряне:

• Системата се свързва към контролиран от атакуващия сървър
• Локални ресурси се пренасочват към отдалечената система

Това позволява:

• Кражба на файлове от локалния диск
• Достъп до записани идентификационни данни
• Прихващане на clipboard съдържание (пароли, чувствителен текст)
• Злоупотреба с механизми за удостоверяване като Windows Hello

Групата APT29 вече е използвала подобни техники за компрометиране на цели чрез подправени RDP файлове.

Новите защити в Windows

С актуализациите от април 2026 г.:

• Windows 10 (KB5082200)
• Windows 11 (KB5083769, KB5082052)

Microsoft въвежда няколко ключови подобрения:

1. Обучително предупреждение (първо стартиране)

При първо отваряне на RDP файл:

• Показва се обяснение какво представляват RDP файловете
• Потребителят трябва да потвърди, че разбира риска

2. Задължителен защитен диалог

При всяко следващо отваряне:

• Показва се подробен прозорец със:
  • Адреса на отдалечената система
  • Данни за издателя
  • Всички искани пренасочвания (дискове, clipboard, устройства)

Всички рискови опции са изключени по подразбиране.

3. Предупреждения за неподписани файлове

Ако RDP файлът не е цифрово подписан:

• Показва се предупреждение: „Unknown remote connection“
• Издателят се маркира като неизвестен

Ако файлът е подписан:

• Показва се издателят
• Но потребителят все пак се предупреждава да провери легитимността

Ограничения на защитата

Важно уточнение:

• Новите мерки важат само за RDP файлове (.rdp)
• Не се прилагат за връзки, инициирани директно през Remote Desktop клиента

Административен контрол

Администраторите могат временно да изключат защитите чрез регистъра:

стойност:

Въпреки това, Microsoft силно препоръчва защитите да останат активни, предвид честата злоупотреба с RDP файлове.

3ащо това е важно

Този ъпдейт е показателен за по-широка тенденция:

• Атаките се изместват към легитимни инструменти
• Фокусът е върху социално инженерство, а не само върху експлойти

RDP файловете са особено опасни, защото:

• Изглеждат безобидни
• Често се използват в реални бизнес процеси
• Дават дълбок достъп до системата

Новите защити на Microsoft са важна стъпка към ограничаване на фишинг атаки, които използват доверени механизми като RDP. Въпреки това, човешкият фактор остава ключов – дори най-добрите защити могат да бъдат заобиколени при невнимание.