A támadások új trükkjei
Kiberbűnözők, például az orosz APT29-es csoport, egyre gyakrabban alkalmazzák az RDP-fájlokban rejlő lehetőségeket. Amint az áldozat megnyit egy ilyen fájlt – legtöbbször adathalász e-mail mellékleteként –, a gépe szinte észrevétlenül kapcsolódik egy támadó által irányított szerverhez, megosztva a helyi meghajtókat, így a támadó könnyedén hozzáférhet a rajta tárolt fájlokhoz és hitelesítő adatokhoz. Emellett a vágólap adatai (például jelszavak), valamint a Windows Hello- vagy az okoskártya-alapú hitelesítés is a támadók kezébe kerülhet.
Új védelmi intézkedések érkeznek
Az áprilisi összesítő frissítéssel a Windows 10 és a Windows 11 rendszerek új védelmi funkciókat kaptak. Első alkalommal, amikor valaki RDP-fájlt nyit meg, egy figyelmeztető ablak részletes tájékoztatást ad az RDP-vel kapcsolatos kockázatokról, és jóváhagyást kér – így elkerülhető, hogy a jövőben hasonló meglepetés érje a felhasználót. Minden további RDP-fájl megnyitásakor biztonsági párbeszédablak jelenik meg, amely megmutatja, ki írta alá a fájlt, mi a távoli gép címe, valamint felsorolja, mely helyi erőforrások lehetnek átirányítva – minden lehetőség alapértelmezetten le van tiltva.
Digitálisan nem aláírt fájl esetén a rendszer külön figyelmeztet, a kiadó pedig ismeretlenként jelenik meg. Még ha létezik is aláírás, a rendszer továbbra is óvatosságra int, hogy ellenőrizzük a kiadót. Ezek az intézkedések csak akkor lépnek érvénybe, ha közvetlenül egy RDP-fájlt nyitnak meg; a Távoli asztal-kliensen (Remote Desktop) keresztüli kapcsolódás esetén nem.
Nem érdemes kikapcsolni a védelmet
Bár az adminisztrátorok a rendszerleíró adatbázisban ideiglenesen kikapcsolhatják ezeket a védelmeket, erősen ajánlott bekapcsolva tartani őket, hiszen az RDP-fájlok régóta a támadók kedvelt eszközei közé tartoznak. A fejlemények minden várakozást felülmúltak, és végre érdemi védelmet kapnak a felhasználók a rejtett RDP-trükkök ellen.
