Корпорация Microsoft с апреля 2026 года внедрит в клиент удалённого рабочего стола (Remote Desktop Connection) новые меры безопасности, направленные на борьбу с фишингом через RDP-файлы. Основное изменение - появление обязательного диалогового окна с предупреждением перед каждым подключением по RDP-файлу. В нём пользователь должен явно разрешить доступ к каждому локальному ресурсу своего устройства, так как по умолчанию все они будут заблокированы. Это прямое ответное действие на участившиеся атаки, в которых злоумышленники рассылают вредоносные RDP-файлы для кражи данных и доступа к корпоративным сетям.
Сама по себе техника использования RDP-файлов в фишинге не нова. Атакующие рассылают их по email, маскируя под служебные инструкции или приглашения на совещание. Когда пользователь открывает такой файл, его компьютер подключается к серверу злоумышленника, а прописанные в файле настройки могут автоматически предоставить удалённой стороне доступ к локальным дискам, буферу обмена, камере или микрофону. Новая система предупреждений призвана разорвать эту автоматизацию, заставив пользователя осознанно подтвердить каждый параметр подключения, особенно те, что касаются перенаправления локальных устройств (редиректов).
Под ударом, в первую очередь, оказываются сотрудники организаций, регулярно использующие удалённый доступ для работы. Однако нововведение затронет и индивидуальных пользователей. Microsoft разделила сценарии в зависимости от наличия цифровой подписи у RDP-файла. Для неподписанных файлов будет отображаться жёсткое предупреждение "Осторожно: неизвестное удалённое подключение" с указанием "Неизвестный издатель". Для подписанных файлов тон смягчён до "Подтвердите издателя этого удалённого подключения", однако компания отдельно предупреждает, что даже наличие подписи не гарантирует безопасность, так как злоумышленники могут использовать похожие имена издателей.
Как отмечают эксперты по безопасности, ключевой риск кроется именно в редиректах. "Перенаправление локальных дисков - один из самых опасных векторов, оно позволяет атакующему не только украсть файлы с устройства жертвы, но и записать вредоносную программу в автозагрузку, получив устойчивый доступ. А перенаправление буфера обмена или устройств аутентификации, таких как смарт-карты или ключи FIDO2, открывает путь к компрометации учётных данных и доступу под видом легитимного пользователя". Новый диалог безопасности требует от пользователя вручную включить каждый тип редиректа, что резко снижает вероятность успешной скрытой атаки.
В своём официальном сообщении Microsoft прямо указывает: "Никогда не открывайте RDP-файл, которого вы не ожидали, даже если письмо выглядит легитимным. В случае сомнений обратитесь в ИТ-отдел". Эта рекомендация становится основным поведенческим контрмером, дополняющей технические улучшения. Для ИТ-администраторов компания предусмотрела возможность временного отката к старому поведению диалога через редактирование реестра, но предупреждает, что поддержка этой настройки может быть удалена в будущих обновлениях, поэтому организациям стоит адаптировать свои процессы под новые требования.
Обновление безопасности для RDP - это эволюционный, а не революционный шаг. Оно не закрывает фундаментальные уязвимости в самом протоколе, но существенно повышает осведомлённость пользователя и усложняет жизнь фишерам. Тренд на "защиту от одного клика" продолжает набирать обороты среди крупных вендоров, смещая часть ответственности с технических специалистов на конечных пользователей, которых теперь принуждают к более вдумчивому взаимодействию с потенциально опасными объектами. Успех этой меры будет напрямую зависеть от того, насколько быстро организации переведут свои служебные RDP-файлы на цифровые подписи и проведут обучение сотрудников.
