3 Minuty
Jedna z najbardziej podstępnych dróg ataku w środowiskach IT stała się właśnie znacznie trudniejsza do wykorzystania. Wraz z kwietniowymi aktualizacjami zbiorczymi z 2026 roku dla Windows 10 i Windows 11, Microsoft wprowadza istotne zmiany, ograniczając nadużycia związane z Protokołem Pulpitu Zdalnego, popularnym plikiem RDP oraz cichym trikiem, który cyberprzestępcy wykorzystywali do przekształcania go w narzędzie do phishingu.
Na pierwszy rzut oka plik RDP nie wydaje się groźny. To po prostu skrót do połączenia zdalnego, z którego administratorzy systemów i zespoły wsparcia korzystają codziennie. Właśnie dlatego stanowi on zagrożenie. Otwórz niewłaściwy plik, a Twój komputer może połączyć się z serwerem kontrolowanym przez atakującego, narażając lokalne dyski, zawartość schowka, a nawet dane uwierzytelniające, zanim zdążysz zorientować się, co się stało.
Znany plik, bardzo realne ryzyko
To nie jest wyłącznie teoretyczny scenariusz z laboratorium. Grupa APT29, powiązana z rosyjskim państwem i znana z wyrafinowanych kampanii szpiegowskich, już wykorzystywała spreparowane pliki RDP w rzeczywistych atakach, by wykradać dane logowania i pozyskiwać informacje od wybranych ofiar. Metoda ta jest skuteczna, ponieważ nie przypomina typowego ataku: plik wygląda jak zwykły dokument — nudny, niepozorny. I tu tkwi problem.
Microsoft od dawna próbuje ostrzegać użytkowników, jeśli plik RDP wydaje się podejrzany. Jeśli plik nie jest podpisany, Windows wyświetla ostrzeżenie, informując, że połączenie jest nieznane, a wydawca nie może zostać zweryfikowany. Nawet w przypadku plików podpisanych cyfrowo, użytkownik musi potwierdzić tożsamość wydawcy przed nawiązaniem połączenia. Sam podpis pomaga zidentyfikować źródło, jednak nie zapewnia automatycznego bezpieczeństwa.
Co się zmienia po aktualizacji
Nowa warstwa ochrony wprowadza utrudnienia dokładnie tam, gdzie są naprawdę potrzebne. Po zainstalowaniu aktualizacji, za pierwszym razem gdy uruchomisz plik RDP, Windows wyświetli jednorazowy komunikat edukacyjny, wyjaśniający czym jest plik, do czego służy i jakie może nieść zagrożenia. Następnie, przy każdej kolejnej próbie bezpośredniego uruchomienia pliku, pojawi się okno dialogowe z ostrzeżeniem bezpieczeństwa, zanim połączenie zostanie nawiązane.
To powiadomienie jest o wiele bardziej użyteczne niż dotychczasowe, ogólne ostrzeżenia. Pokazuje, czy plik pochodzi od zweryfikowanego, podpisanego cyfrowo wydawcy. Ujawnia też adres zdalny serwera, z którym zamierzasz się połączyć, oraz wymienia lokalne zasoby, do których plik chce uzyskać dostęp, takie jak schowek, dyski czy urządzenia. Po instalacji aktualizacji nic nie jest udostępniane domyślnie. Użytkownik musi wyrazić na to aktywną zgodę. O to właśnie chodzi.
Jest tu istotny szczegół: ostrzeżenia pojawiają się wyłącznie przy bezpośrednim otwieraniu pliku RDP. W przypadku korzystania ze standardowego klienta Pulpitu Zdalnego Windows, wszystko działa jak dotychczas. Dla zespołów IT, które muszą wyłączyć te powiadomienia, Microsoft umożliwia to poprzez ustawienia rejestru. Jednak, biorąc pod uwagę skuteczność ataków przy wykorzystaniu luk w plikach RDP, wyłączenie tej ochrony nie jest zalecane.
W praktyce Microsoft robi to, o co specjaliści ds. bezpieczeństwa prosili od lat: sprawia, że wygoda okazuje się trochę mniej wygodna, ale za to znacznie bezpieczniejsza.
To rozwiązanie może zirytować niektórych zaawansowanych użytkowników. I słusznie, bo bezpieczeństwo często oznacza pewne niedogodności. Wybór jest jednak prosty: jedno dodatkowe kliknięcie czy oddanie atakującemu dostępu do schowka, plików lokalnych lub danych logowania?
Zostaw komentarz