3 Minuty
Jedna z nejzáludnějších cest útoku v podnikové IT se právě stala mnohem těžší ke zneužití. S dubnovými kumulativními aktualizacemi 2026 pro Windows 10 a Windows 11 Microsoft zpřísňuje bezpečnost u protokolu Vzdálená plocha (RDP), obyčejného RDP souboru a tichého triku, který útočníci používali k jeho přeměně na phishingový nástroj.
Na první pohled RDP soubor vypadá neškodně. Je to jen zástupce pro vzdálené připojení, typ souboru, který si systémoví administrátoři a podpůrné týmy předávají celý den. Právě proto je však nebezpečný. Otevřete-li ten špatný, může být váš počítač přinucen připojit se k serveru pod kontrolou útočníka, čímž mohou být zpřístupněny lokální disky, schránka nebo dokonce přihlašovací údaje, než si vůbec uvědomíte, co se stalo.
Známý soubor, reálné riziko
Nejde o teoretický laboratorní scénář. Skupina APT29, ruské skupiny spojená se státem a známá také pro nenápadné špionážní kampaně, už v praxi využila falešné RDP soubory ke sběru přihlašovacích údajů a stahování dat z cílených obětí. Metoda funguje, protože nevypadá jako útok. Vypadá jako dokument. Nudný dokument. To je ten problém.
Microsoft se dlouho snažil uživatele upozornit, když má RDP soubor podezřelý původ. Pokud soubor není podepsaný, Windows zobrazí varování, které v podstatě říká, že vzdálené připojení je neznámé a vydavatele nelze ověřit. I když je soubor podepsaný, Windows stále požádá uživatele o potvrzení vydavatele před navázáním připojení. Digitální podpis může pomoci ověřit identitu, ale automaticky soubor nečiní bezpečným.
Co se změní po aktualizaci
Nová vrstva ochrany přidává větší zátěž právě tam, kde má smysl. Poprvé, když po instalaci aktualizace otevřete RDP soubor, Windows zobrazí jednorázovou informativní zprávu, která vysvětlí, co soubor dělá a proč může být rizikový. Poté každé přímé spuštění RDP souboru vyvolá bezpečnostní dialog před tím, než je připojení povoleno.
Tato výzva je užitečnější než obvyklé obecné varování. Ukazuje, zda soubor pochází od ověřeného, digitálně podepsaného vydavatele. Také odhalí vzdálenou adresu, se kterou se chystáte spojit, a vyjmenuje lokální zdroje, které se soubor pokouší přesměrovat, jako přístup ke schránce, diskům a připojeným zařízením. Nic není sdíleno automaticky. Musíte tomu aktivně dát souhlas. O to tady jde.
Je tu důležitý detail. Tato varování platí pouze tehdy, když je RDP soubor otevřen přímo. Pokud používáte standardního klienta Vzdálené plochy ve Windows, zkušenost zůstává stejná. IT týmům, které chtějí výzvy potlačit, Microsoft nabízí možnost obejít je přes registr systému. Vzhledem k tomu, jak efektivně byly RDP soubory zneužívány v reálných útocích, by však vypnutí těchto bezpečnostních opatření bylo riskantní.
V praktickém smyslu Microsoft dělá to, o co bezpečnostní týmy žádají už roky: činí nebezpečné usnadnění méně pohodlným a výrazně bezpečnějším.
Tato výměna pravděpodobně naštve některé pokročilé uživatele. To je v pořádku. Bezpečnost to často dělá. Ale pokud je volba mezi jedním dalším kliknutím a předáním útočníkovi vaší schránky, lokálních souborů nebo přihlašovacích údajů, odpověď je jasná.
Zanechte komentář