A Microsoft lançou novas defesas no Windows, orientadas para neutralizar um vetor de phishing que ganhou tração nos últimos anos: os arquivos de conexão de Escritor Remoto (.rdp) enviados como senheiro. Estas pequenas configurações podem parecer inofensivas, mas nas mãos de atacantes permitem estabelecer conexões automáticas a equipamentos controlados por terceiros e redireccionar recursos locais —discos, área de transferência, dispositivos de autenticação — com o risco de exfiltrar arquivos, credenciais e dados sensíveis.
A medida chega dentro das actualizações cumulativas de abril de 2026 para o Windows 10 e o Windows 11, e introduz duas camadas de proteção: um aviso educativo na primeira vez que se abre um .rdp e, a partir de então, uma janela de segurança prévia a qualquer conexão que mostra quem assinou o arquivo, o endereço remoto e quais recursos locais se pretendem redirigir - com todas as opções desativadas por defeito. Se o arquivo não estiver assinado digitalmente, o Windows irá mostrar um aviso de “Conexão Remoto Desconhecido” e marcas que indicam que o criador não pode ser verificado. Para a explicação oficial da Microsoft sobre esses avisos, você pode consultar sua documentação em Microsoft Learn.
A razão de fundo não é especulativa: atores avançados têm abusado de RDP em campanhas de phishing. Grupos patrocinados por estados e bandas criminosas enviaram .rdp como anexo ou link em e-mails para que a vítima, sem perceber, estabeleça uma conexão para uma máquina do atacante e deixe expostos discos locais e credenciais. Em casos documentados, essa técnica foi usada para roubar dados e suplantar identidades; relatórios públicos e artigos especializados têm detalhado incidentes onde o RDP malicioso desempenhou um papel chave na intrusão — por exemplo, investigações jornalísticas e técnicas que descrevem abusos semelhantes podem ser consultados em meios especializados como BleepingComputer e nas análises de inteligência de múltiplos provedores de segurança.
O que muda para o utilizador e para o administrador? Para o usuário final, a novidade mais visível é o diálogo informativo inicial e a posterior caixa de verificação que obriga a confirmar a compreensão do risco. Para conexões posteriores, a caixa de segurança mostrará a origem e as redireções previstas, mas deixará essas redireções desativadas até que o usuário as active explicitamente. Do ponto de vista do administrador, a Microsoft documenta uma forma de restaurar o comportamento anterior temporariamente através de uma modificação no registo: alterar o valor RedirectionWarningDialogVersion a 1 na chave HKLM\\Software\\Policies\\ Microsoft\\ Windows NT\\Terminal Services\\Client. A Microsoft recomenda manter as novas protecções activas devido ao histórico de abuso dos .rdp.
É importante sublinhar uma limitação técnica: estas medidas aplicam-se apenas quando a ligação se inicia abrindo um arquivo .rdp; não afetam as sessões iniciadas diretamente do cliente de Escritor Remoto ou outras formas de conexão remota. Por isso a proteção reduz um vetor de phishing muito concreto, mas não substitui outras medidas de segurança perimetral e de acesso remoto.
Para além do adesivo, é conveniente aproveitar o momento para reforçar as práticas de segurança: evitar abrir arquivos .rdp recebidos por e-mail sem verificar o remetente; preferir fluxos de trabalho em que os perfis de conexão são geridos e assinados pela organização; e aplicar políticas de grupo que controlem o redireccionamento de unidades, área de transferência e dispositivos de autenticação. Também é aconselhável reduzir a exposição de serviços RDP à Internet, usar autenticação multifator, segmentar redes e monitorar conexões remotas para detectar atividade anómala. Para orientações práticas sobre como reduzir o risco no RDP e configurações recomendadas, a página da Agência de Segurança Cibernética dos EUA oferece guias úteis em CISA e a Microsoft mantém documentação de segurança no Remote Desktop Microsoft Learn - Remote Desktop Services.
O que as empresas deveriam fazer hoje? Aplicar as actualizações correspondentes (as cumulativas assinaladas em Abril de 2026 incluem as protecções), rever as políticas de redireccionamento e assinatura de perfis, e reforçar a formação de utilizadores para tratar ficheiros .rdp não solicitados com a mesma cautela que qualquer outro anexo suspeito. Essas medidas colaboram em fechar uma janela de ataque que, embora técnica e pequena aparência, demonstrou ser eficaz quando cai nas mãos erradas.
Se quiser aprofundar as notas da atualização e os avisos de segurança da Microsoft, a documentação oficial sobre as advertências de segurança em ligações remotas está disponível em Microsoft Learn, e para contexto sobre como os atacantes abusam do RDP podem consultar o ecossistema de inteligência e imprensa especializada como BleepingComputer ou recursos de CISA em CISA.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...