Microsoft adaugă noi măsuri de securitate pentru Windows
Sursă: https://www.bleepingcomputer.com
Microsoft a introdus noi măsuri de protecție în Windows pentru a preveni atacurile de tip phishing care exploatează fișierele de conexiune Remote Desktop (.rdp), adăugând avertismente și dezactivând în mod implicit resursele partajate care prezintă riscuri.
Fișierele RDP sunt utilizate frecvent în mediile enterprise pentru a se conecta la sisteme la distanță, deoarece administratorii le pot preconfigura pentru a redirecționa automat resursele locale către host-ul la distanță.
Atunci când sunt deschise, aceste fișiere se pot conecta la sisteme controlate de atacatori și pot redirecționa drive-urile locale către dispozitivul conectat, permițând dispozitivului controlat de atacatori să sustragă fișiere și date de autentificare stocate pe disk.
De asemenea, ele pot captura date din clipboard, precum parole sau text confidențial, sau pot redirecționa mecanismele de autentificare, cum ar fi cardurile inteligente sau Windows Hello, pentru a se da drept utilizatori.
Ca parte a actualizărilor cumulative din aprilie 2026 pentru Windows 10 (KB5082200) și Windows 11 (KB5083769 și KB5082052), Microsoft a lansat acum noi măsuri de protecție pentru a împiedica utilizarea pe dispozitive a fișierelor de conexiune RDP rău intenționate.
După instalarea acestei actualizări, atunci când utilizatorii deschid un fișier RDP pentru prima dată, se afișează un mesaj informativ unic care explică ce sunt fișierele RDP și îi avertizează cu privire la riscurile asociate. Utilizatorii Windows vor fi apoi rugați să confirme că au înțeles riscurile și să apese pe OK, ceea ce va împiedica afișarea din nou a alertei.
În viitor, la încercările de a deschide fișiere RDP, va apărea o fereastră de dialog privind securitatea înainte de stabilirea conexiunii.
Această fereastră de dialog afișează dacă fișierul RDP este semnat de un editor verificat, adresa sistemului la distanță și listează toate redirecționările de resurse locale, cum ar fi unitățile de stocare, clipboard-ul sau dispozitivele, toate opțiunile fiind dezactivate în mod implicit.
Trebuie menționat că aceste noi măsuri de protecție se aplică numai conexiunilor inițiate prin deschiderea fișierelor RDP, nu și celor realizate prin intermediul clientului Windows Remote Desktop.
Microsoft afirmă că administratorii pot dezactiva temporar aceste protecții accesând HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client Registry key și modificând valoarea RedirectionWarningDialogVersion astfel încât să fie setată la 1.
Cu toate acestea, având în vedere că fișierele RDP au fost utilizate în mod abuziv în atacuri în trecut, se recomandă cu tărie menținerea activată a acestor protecții.
Sursă: https://www.bleepingcomputer.com/news/microsoft/microsoft-adds-windows-protections-for-malicious-remote-desktop-files/
