A Microsoft introduziu novas proteções no Windows para defender usuários contra ataques de phishing que exploram arquivos de conexão do Remote Desktop Protocol, com a inclusão de alertas adicionais e a desativação padrão de recursos compartilhados considerados sensíveis.
Arquivos RDP são amplamente utilizados em ambientes corporativos para acesso remoto, permitindo que administradores pré-configurem conexões com redirecionamento automático de recursos locais para sistemas remotos.
Esse comportamento, no entanto, tem sido explorado por cibercriminosos em campanhas de phishing.
O grupo APT29, associado ao Estado russo, já utilizou arquivos RDP maliciosos para roubo de dados e credenciais. Ao abrir esses arquivos, a vítima pode se conectar a um servidor controlado pelo atacante, permitindo o redirecionamento de discos locais e o acesso a arquivos e informações sensíveis.
Além disso, arquivos RDP podem capturar dados da área de transferência, como senhas copiadas, ou redirecionar mecanismos de autenticação, incluindo smart cards e Windows Hello, possibilitando a personificação do usuário.
Como parte das atualizações cumulativas de abril de 2026, incluindo o Windows 10 (KB5082200) e o Windows 11 (KB5083769 e KB5082052), a Microsoft implementou novas medidas para mitigar esse vetor de ataque.
“Agentes maliciosos abusam desse recurso ao enviar arquivos RDP por e-mail de phishing”, alertou a empresa. “Quando a vítima abre o arquivo, o dispositivo pode se conectar a um servidor controlado pelo atacante e compartilhar recursos locais, expondo dados e credenciais.”
Após a atualização, ao abrir um arquivo RDP pela primeira vez, o sistema exibirá um aviso educativo explicando os riscos associados. O usuário deverá confirmar a leitura antes de prosseguir, e esse alerta será exibido apenas uma vez.
Nas execuções seguintes, o Windows apresentará uma caixa de diálogo de segurança antes de estabelecer a conexão. Esse aviso indicará se o arquivo possui assinatura digital válida, exibirá o endereço do sistema remoto e listará todos os redirecionamentos de recursos locais, como discos, área de transferência e dispositivos, que passam a vir desativados por padrão.
Caso o arquivo não esteja assinado, o sistema exibirá o alerta “Caution: Unknown remote connection”, indicando que não é possível verificar sua origem. Mesmo quando houver assinatura digital, o usuário ainda será orientado a validar a legitimidade da conexão antes de prosseguir.
Vale destacar que essas proteções se aplicam apenas a conexões iniciadas por meio de arquivos RDP, não afetando conexões realizadas diretamente pelo cliente de Área de Trabalho Remota do Windows.
Segundo a Microsoft, administradores podem desativar temporariamente essas proteções por meio da chave de registro:
HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client
alterando o valor RedirectionWarningDialogVersion para 1.
Ainda assim, considerando o histórico de exploração desse vetor, a recomendação é manter as proteções ativadas para reduzir o risco de comprometimento.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...