Компания Microsoft внедрила новые механизмы защиты в Windows для противодействия фишинговым атакам, в которых злоумышленники используют файлы подключения к удаленному рабочему столу (.rdp). Обновления добавляют предупреждения для пользователей и по умолчанию отключают потенциально опасные функции совместного использования ресурсов.
Файлы RDP широко применяются в корпоративной среде для подключения к удаленным системам, поскольку администраторы могут заранее настроить их таким образом, чтобы автоматически перенаправлять локальные ресурсы на удаленный компьютер.
Злоумышленники все чаще используют эту функциональность в фишинговых кампаниях. В частности, ранее хакерская группа APT29 применяла поддельные RDP-файлы для удаленной кражи данных и учетных данных пользователей.
При открытии такого файла может устанавливаться соединение с системой, контролируемой атакующим, а локальные диски перенаправляются на подключенное устройство. Это позволяет злоумышленнику получать доступ к файлам и учетным данным, хранящимся на компьютере пользователя.
Кроме того, такие файлы могут перехватывать содержимое буфера обмена (например, пароли или конфиденциальный текст), а также перенаправлять механизмы аутентификации — такие как смарт-карты или Windows Hello — для подмены пользователя.
Новые меры защиты RDP
В рамках накопительных обновлений за апрель 2026 года для Windows 10 (KB5082200) и Windows 11 (KB5083769 и KB5082052) Microsoft внедрила дополнительные меры защиты, направленные на предотвращение использования вредоносных RDP-файлов.
Обновления безопасности Windows, апрель 2026
| ОС Windows | Сборка | Версия | Канал | Обновление | ISO-образы | Доступно |
|---|---|---|---|---|---|---|
| Windows 11 | 28000.1836 | 26H1 | Stable | KB5083768 | ISO (UUP) | 2026-04-14 |
| Windows 11 | 26200.8246 | 25H2 | Stable | KB5083769 | ISO (UUP) | 2026-04-14 |
| Windows 11 | 26100.8246 | 24H2 | Stable | KB5083769 | ISO (UUP) | 2026-04-14 |
| Windows 11 | 22631.6936 | 23H2 | Stable | KB5082052 | ISO (UUP) | 2026-04-14 |
| Windows 10 | 19045.7184 | 22H2 | Stable | KB5082200 | ISO (UUP) | 2026-04-14 |
Microsoft предупреждает:
Злоумышленники активно используют эту возможность в фишинговых рассылках, отправляя пользователям поддельные RDP-файлы.
При открытии такого файла устройство может незаметно установить соединение с сервером атакующего и предоставить доступ к локальным ресурсам, включая файлы и учетные данные.
После установки обновлений при первом открытии RDP-файла пользователю отображается обучающее уведомление, объясняющее, что такое RDP-файлы и какие риски с ними связаны. Пользователь должен подтвердить, что ознакомился с предупреждением, после чего оно больше не будет показываться.
Информационное предупреждение о рисках использования RDP-файлов. Источник: Comss.ru
При последующих попытках открыть RDP-файл перед установлением соединения будет отображаться окно безопасности.
Предупреждение Windows о том, что RDP-файл получен от непроверенного издателя. Источник: Comss.ru
В этом окне указывается, подписан ли файл проверенным издателем, отображается адрес удаленной системы, а также перечисляются все параметры перенаправления локальных ресурсов — такие как диски, буфер обмена и устройства. При этом все эти параметры по умолчанию отключены.
Если файл не имеет цифровой подписи, Windows выводит предупреждение «Внимание: неизвестное удаленное подключение» и указывает, что издатель неизвестен, то есть невозможно подтвердить, кем создан файл.
Если файл подписан, Windows отображает информацию об издателе, но все равно рекомендует дополнительно проверить его подлинность перед подключением.
Отмечается, что новые меры защиты применяются только к подключениям, инициируемым через открытие RDP-файлов, и не затрагивают подключения, выполняемые через клиент удаленного рабочего стола Windows.
Microsoft также сообщает, что администраторы могут временно отключить эти механизмы защиты через реестр, изменив значение параметра RedirectionWarningDialogVersion на 1 в разделе:
HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client
Тем не менее, учитывая, что RDP-файлы ранее неоднократно использовались в атаках, рекомендуется оставлять данные защитные механизмы включенными.
Последние статьи #Windows
• Официальные ISO-образы Windows 11, Версия 25H2 (Сборка ОС 26200.8246) доступны через Media Creation Tool
• Обновление KB5083631 (Build 26100.8313) Preview для Windows 11, версия 24H2
• Microsoft готовит крупное обновление меню «Пуск» в Windows 11
• Обновление KB5083806 (Build 28000.1890) Preview для Windows 11, версия 26H1
• Обновление KB5083631 (Build 26200.8313) Preview для Windows 11, версия 25H2
• Windows 11 Insider Preview Build 29570 (Canary) доступен для тестирования