В апреле 2026 года Microsoft внедрила новые меры защиты Windows от вредоносных RDP-файлов, которые используются в фишинговых атаках. Эти обновления направлены на снижение рисков, связанных с файлами подключения к удалённому рабочему столу (.rdp), которые злоумышленники применяют для кражи данных и учётных данных.

Проблема с RDP-файлами

Файлы RDP широко применяются в корпоративной среде для подключения к удалённым системам. Администраторы могут предварительно настроить их так, чтобы автоматически перенаправлять локальные ресурсы (диски, буфер обмена, устройства) на удалённый хост. Однако эта функциональность часто используется злоумышленниками в фишинговых кампаниях.

При открытии поддельного RDP-файла устройство может незаметно установить соединение с сервером, контролируемым атакующим, и предоставить доступ к локальным ресурсам, включая файлы и учётные данные. Такие файлы также могут перехватывать содержимое буфера обмена (например, пароли) или перенаправлять механизмы аутентификации (смарт-карты, Windows Hello) для подмены пользователя.

Ранее хакерская группа APT29 уже использовала поддельные RDP-файлы для удалённой кражи данных и учётных данных пользователей.

Новые меры защиты

Обновления были включены в накопительные обновления за апрель 2026 года:

• для Windows 10 — KB5082200;
• для Windows 11 — KB5083769 и KB5082052.

Основные изменения:

1. Обучающее уведомление при первом открытии RDP-файла. После установки обновления при первом открытии RDP-файла пользователю отображается одноразовое сообщение. В нём объясняется, что такое RDP-файлы, и предупреждается о связанных с ними рисках. Пользователь должен подтвердить, что ознакомился с предупреждением, после чего оно больше не будет показываться.
2. Диалоговое окно безопасности при последующих попытках открытия RDP-файлов. При каждой последующей попытке открыть RDP-файл перед установлением соединения будет отображаться окно безопасности. В нём отображается:
   
   • статус подписи файла (если файл не подписан, появляется предупреждение «Внимание: неизвестное удалённое подключение», а издатель помечается как неизвестный);
   • адрес удалённой системы, к которой устанавливается соединение;
   • список перенаправляемых локальных ресурсов (диски, буфер обмена, устройства и т. д.).

   Все опции перенаправления по умолчанию отключены, и пользователь должен вручную их активировать, если это необходимо.

3. Проверка подписи. Даже если RDP-файл имеет цифровую подпись, Windows всё равно предупреждает пользователя о необходимости проверить легитимность издателя перед подключением. Цифровая подпись лишь подтверждает личность создателя файла и то, что файл не был изменён после подписания, но не гарантирует его безопасность.

Ограничения и дополнительные возможности

Новые меры защиты применяются только к соединениям, инициированным открытием RDP-файлов. Они не затрагивают подключения, установленные через клиент удалённого рабочего стола Windows.

Администраторы могут временно отключить эти механизмы защиты через реестр, изменив значение параметра:

RedirectionWarningDialogVersion на 1 в разделе HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client. Однако Microsoft рекомендует оставлять защитные механизмы включёнными, учитывая историю злоупотреблений RDP-файлами в атаках.