Microsoft представила новые средства защиты Windows для противодействия фишинговым атакам, использующим файлы подключения к удалённому рабочему столу (.rdp). Компания добавила предупреждения и отключила по умолчанию опасные общие ресурсы.
Файлы RDP широко используются в корпоративных средах для подключения к удалённым системам, поскольку администраторы могут предварительно настроить их для автоматического перенаправления локальных ресурсов на удалённый хост.
Злоумышленники всё чаще злоупотребляют этой функциональностью в фишинговых кампаниях. При открытии эти файлы могут подключаться к системам, контролируемым злоумышленниками, и перенаправлять локальные диски на подключённое устройство, позволяя красть файлы и учётные данные, хранящиеся на диске. Хакеры также могут перехватывать данные из буфера обмена, такие как пароли или конфиденциальный текст, или перенаправлять механизмы аутентификации, такие как смарт-карты или Windows Hello, для выдачи себя за других пользователей.
В рамках апрельских накопительных обновлений 2026 года для Windows 10 (KB5082200) и Windows 11 (KB5083769 и KB5082052) Microsoft выпустила новые средства защиты, предотвращающие использование вредоносных файлов RDP-подключения на устройствах.
После установки этого обновления при первом открытии файла RDP отображается одноразовое сообщение, объясняющее, что такое эти файлы, и предупреждающее об их рисках. Пользователям Windows будет предложено подтвердить, что они понимают риски, и нажать кнопку «ОК». При последующих попытках открытия файлов RDP теперь будет отображаться диалоговое окно безопасности перед установлением любого соединения. Это диалоговое окно показывает, подписан ли файл RDP проверенным издателем, адрес удалённой системы, а также перечисляет все перенаправления локальных ресурсов, такие как диски, буфер обмена или устройства, при этом все параметры по умолчанию отключены.
Если файл не имеет цифровой подписи, Windows отображает предупреждение «Внимание: Неизвестное удалённое соединение» и помечает издателя как неизвестного, указывая на отсутствие возможности проверить, кто создал файл. Если файл RDP имеет цифровую подпись, Windows отобразит издателя, но все равно предупредит о необходимости проверить его легитимность перед подключением. Следует отметить, что эти новые меры защиты применяются только к соединениям, инициированным открытием файлов RDP, а не к соединениям, установленным через клиент удалённого рабочего стола Windows.
Microsoft заявляет, что администраторы могут временно отключить эти средства защиты, перейдя в раздел реестра HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client и изменив значение параметра RedirectionWarningDialogVersion на 1.
В феврале Microsoft обновила Secure Boot — ключевой компонент безопасности Windows, гарантирующий, что при нажатии кнопки питания будут запускаться только доверенные операционные системы. Компания выпустила новые сертификаты.
ссылка на оригинал статьи https://habr.com/ru/articles/1023666/