Microsoft hat neue Verteidigungen in Windows eingesetzt, die darauf abzielen, einen Phishing-Vektor zu neutralisieren, der in den letzten Jahren Traktion gewonnen hat: die Remoto Desktop (.rdp) Verbindungsdateien, die als Decoy gesendet werden. Diese kleinen Konfigurationen können harmlos erscheinen, aber in den Händen von Angreifern ermöglichen automatische Verbindungen zu fremdgesteuerten Geräten und zur Umleitung von lokalen Ressourcen - Festplatten, Zwischenablage, Authentifizierungsgeräte - mit dem Risiko, sensible Dateien, Anmeldeinformationen und Daten auszufiltern.
Die Maßnahme kommt in die kumulativen Updates von April 2026 für Windows 10 und Windows 11 und führt zwei Schichten des Schutzes ein: ein pädagogischer Hinweis zum ersten Mal wird ein .rdp geöffnet und, von dann an, ein Sicherheitsdialog vor jeder Verbindung, die zeigt, wer die Datei signiert, Remote-Richtung und welche lokalen Ressourcen sollen umleiten - mit allen Standardoptionen -. Wenn die Datei nicht digital signiert ist, wird Windows eine "unbekannte Verbindung löschen" Warnung und Tags, die angeben, dass der Schöpfer nicht überprüft werden kann. Für Microsofts offizielle Erklärung dieser Mitteilungen, siehe Ihre Dokumentation bei Microsoft Lernen.
Der Hintergrund ist nicht spekulativ: fortgeschrittene Akteure haben RDP in Phishing-Kampagnen missbraucht. Staatsgesponserte Gruppen und kriminelle Banden haben .rdp als Anhang oder Post-Link geschickt, so dass das Opfer, ohne es zu erkennen, eine Verbindung zu einem Angreifer Maschine herstellen und lokale Aufzeichnungen und Anmeldeinformationen freilassen wird. In dokumentierten Fällen wurde diese Technik verwendet, um Daten und supplant Identitäten zu stehlen; öffentliche Berichte und spezialisierte Artikel haben detaillierte Vorfälle, bei denen bösartige RDP eine Schlüsselrolle bei der Intrusion spielte - zum Beispiel, journalistische und technische Untersuchungen, die ähnliche Missbrauch beschreiben, können in spezialisierte Medien wie BlepingComputer und in der Intelligenzanalyse mehrerer Sicherheitsanbieter.
Welche Änderungen für den Benutzer und den Administrator? Für den Endbenutzer ist die sichtbarste Neuheit der erste Informationsdialog und die anschließende Verifikationstabelle, die eine Bestätigung des Risikoverständnisses erfordert. Für spätere Verbindungen wird das Sicherheitskästchen den beabsichtigten Ursprung und die Adressen anzeigen, diese aber solange deaktiviert lassen, bis der Benutzer sie ausdrücklich aktiviert. Aus der Sicht des Administrators dokumentiert Microsoft einen Weg, das vorherige Verhalten vorübergehend durch eine Änderung der Registrierung wiederherzustellen: den RedirectionWarningDialogVersion-Wert auf 1 im HKLM\ zu ändern Software\ Richtlinien \ Microsoft \ Windows NT\ Terminal Services \ Client-Schlüssel. Microsoft empfiehlt, neue Schutzmaßnahmen auf aufgrund der Geschichte des Missbrauchs der .rdp.
Es ist wichtig, eine technische Einschränkung zu betonen: Diese Maßnahmen gelten nur, wenn die Verbindung durch Öffnen einer .rdp-Datei gestartet wird; sie beeinflussen keine Sitzungen, die direkt vom Remote Desktop-Client oder anderen Formen der Remote-Verbindung initiiert werden. Daher reduziert Schutz einen sehr spezifischen Phishing-Vektor, ersetzt aber keine anderen Perimeter-Sicherheit und Remote Access-Maßnahmen.
Über das Patch hinaus ist es angebracht, die Zeit zu nutzen, um Sicherheitspraktiken zu stärken: Öffnen von .rdp-Dateien, die per Post empfangen werden, ohne den Absender zu überprüfen; Bevorzugen Sie Workflows, in denen die Verbindungsprofile von der Organisation verwaltet und unterzeichnet werden; und wenden Sie Gruppenrichtlinien, die die Umleitung von Einheiten, Clipboard und Authentifizierungsgeräte steuern. Es ist auch ratsam, die Exposition von RDP-Diensten im Internet zu reduzieren, Multifaktor-Authentifizierung, Segmentnetzwerke zu verwenden und Remote-Verbindungen zu überwachen, um anormale Aktivität zu erkennen. Für praktische Anleitungen zur Reduzierung des Risikos in RDP und empfohlenen Konfigurationen bietet die Seite der US Cyber Security Agency nützliche Anleitungen in CISA und Microsoft hält Sicherheitsdokumentation auf Remote Desktop in Microsoft Lernen - Remote Desktop Services.
Was sollen die Unternehmen heute tun? Bewerben Sie die entsprechenden Updates (die im April 2026 angegebenen kumulativen beinhalten die Schutze), überprüfen Sie die Umleitung und Unterschrift Richtlinien, und stärken Sie die Benutzerausbildung, um unaufgeforderte .rdp-Dateien mit der gleichen Vorsicht zu behandeln wie jedes andere verdächtige Attaché. Diese Maßnahmen arbeiten zusammen, um ein Angriffsfenster zu schließen, das sich zwar technisch und klein im Aussehen als wirksam erwiesen hat, wenn es in die falschen Hände fällt.
Wenn Sie die Update-Notizen und Microsoft-Sicherheitshinweise vertiefen möchten, ist die offizielle Dokumentation über Sicherheitswarnungen auf Remote-Verbindungen bei Microsoft Lernen und für den Kontext, wie die RDP-Missbraucher das spezialisierte Intelligenz- und Presseökosystem als BlepingComputer oder CISA-Mittel CISA.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...