Windows Implementa Proteção Contra Arquivos .rdp Maliciosos
A Microsoft introduziu novas proteções no Windows para mitigar ataques de phishing via arquivos Remote Desktop (.rdp). O sistema agora alerta sobre riscos e desabilita o redirecionamento de recursos locais por padrão, visando reduzir a exploração de vulnerabilidades.
MundiX News·18 de abril de 2026·5 min de leitura·👁 15 views
A Microsoft implementou novos mecanismos de segurança no Windows, projetados para dificultar ataques de phishing que utilizam arquivos Remote Desktop (.rdp). Agora, o sistema exibirá avisos aos usuários sobre os riscos associados à abertura desses arquivos e desativará o redirecionamento de recursos locais para o host remoto por padrão.
Arquivos RDP são frequentemente utilizados em ambientes corporativos, onde administradores predefinem configurações de conexão para sistemas remotos, incluindo o redirecionamento automático de recursos locais. No entanto, esse mesmo mecanismo tem sido explorado por atacantes. Grupos APT, por exemplo, já utilizaram arquivos RDP para roubar dados e credenciais remotamente.
Ao abrir um arquivo .rdp malicioso, o dispositivo da vítima se conecta silenciosamente ao servidor do atacante e compartilha os discos locais. Isso permite que os atacantes acessem arquivos e credenciais armazenadas no disco, interceptem o conteúdo da área de transferência (incluindo senhas) e redirecionem mecanismos de autenticação, como smart cards ou Windows Hello, para se passar pelo usuário. Esse tipo de ataque pode ser devastador, permitindo a instalação de ransomware, exploits e outras formas de malware.
As novas proteções foram incluídas nas atualizações cumulativas de abril para Windows 10 (KB5082200) e Windows 11 (KB5083769 e KB5082052). Ao abrir um arquivo RDP pela primeira vez após a instalação da atualização, o usuário verá uma janela informativa explicando o formato e os riscos associados. Para evitar que o aviso seja exibido novamente, é necessário confirmar o entendimento dos riscos e clicar em "OK".
Em tentativas subsequentes de abrir um arquivo .rdp, o Windows exibirá uma caixa de diálogo antes de estabelecer a conexão. Essa caixa de diálogo indicará se o arquivo é assinado por um editor confiável, exibirá o endereço do host remoto e listará todas as opções de redirecionamento de recursos locais (discos, área de transferência, dispositivos). Todas as opções são desativadas por padrão.
Se o arquivo não tiver uma assinatura digital, o Windows exibirá um aviso de "Caution: Unknown remote connection" e marcará o editor como desconhecido. Se houver uma assinatura, o sistema exibirá o editor, mas ainda aconselhará o usuário a verificar sua legitimidade antes de estabelecer a conexão.
A Microsoft enfatiza que os novos mecanismos funcionam apenas ao abrir arquivos RDP. As conexões iniciadas diretamente através do cliente Windows Remote Desktop não são afetadas.
Em caso de necessidade, administradores podem desativar temporariamente as novas verificações. Para isso, na chave do registro HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client, é preciso alterar o valor de RedirectionWarningDialogVersion para 1. No entanto, considerando a frequência com que arquivos RDP são usados em ataques, a Microsoft recomenda fortemente que isso não seja feito.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A Microsoft implementou novos mecanismos de segurança no Windows, projetados para dificultar ataques de phishing que utilizam arquivos Remote Desktop (.rdp). Agora, o sistema exibirá avisos aos usuários sobre os riscos associados à abertura desses arquivos e desativará o redirecionamento de recursos locais para o host remoto por padrão.
Arquivos RDP são frequentemente utilizados em ambientes corporativos, onde administradores predefinem configurações de conexão para sistemas remotos, incluindo o redirecionamento automático de recursos locais. No entanto, esse mesmo mecanismo tem sido explorado por atacantes. Grupos APT, por exemplo, já utilizaram arquivos RDP para roubar dados e credenciais remotamente.
Ao abrir um arquivo .rdp malicioso, o dispositivo da vítima se conecta silenciosamente ao servidor do atacante e compartilha os discos locais. Isso permite que os atacantes acessem arquivos e credenciais armazenadas no disco, interceptem o conteúdo da área de transferência (incluindo senhas) e redirecionem mecanismos de autenticação, como smart cards ou Windows Hello, para se passar pelo usuário. Esse tipo de ataque pode ser devastador, permitindo a instalação de ransomware, exploits e outras formas de malware.
As novas proteções foram incluídas nas atualizações cumulativas de abril para Windows 10 (KB5082200) e Windows 11 (KB5083769 e KB5082052). Ao abrir um arquivo RDP pela primeira vez após a instalação da atualização, o usuário verá uma janela informativa explicando o formato e os riscos associados. Para evitar que o aviso seja exibido novamente, é necessário confirmar o entendimento dos riscos e clicar em "OK".
Em tentativas subsequentes de abrir um arquivo .rdp, o Windows exibirá uma caixa de diálogo antes de estabelecer a conexão. Essa caixa de diálogo indicará se o arquivo é assinado por um editor confiável, exibirá o endereço do host remoto e listará todas as opções de redirecionamento de recursos locais (discos, área de transferência, dispositivos). Todas as opções são desativadas por padrão.
Se o arquivo não tiver uma assinatura digital, o Windows exibirá um aviso de "Caution: Unknown remote connection" e marcará o editor como desconhecido. Se houver uma assinatura, o sistema exibirá o editor, mas ainda aconselhará o usuário a verificar sua legitimidade antes de estabelecer a conexão.
A Microsoft enfatiza que os novos mecanismos funcionam apenas ao abrir arquivos RDP. As conexões iniciadas diretamente através do cliente Windows Remote Desktop não são afetadas.
Em caso de necessidade, administradores podem desativar temporariamente as novas verificações. Para isso, na chave do registro HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client, é preciso alterar o valor de RedirectionWarningDialogVersion para 1. No entanto, considerando a frequência com que arquivos RDP são usados em ataques, a Microsoft recomenda fortemente que isso não seja feito.
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
