4 Minuter
En av de mest listiga angreppsvektorerna i företags-IT blev just mycket svårare att utnyttja. Med sina kumulativa uppdateringar i april 2026 för Windows 10 och Windows 11 stramar Microsoft åt kontrollen över fjärrskrivbordsprotokollet (RDP), den obemärkta RDP-filen och det lilla tysta knep som angripare använt för att förvandla den till ett nätfiskevapen.
Vid första anblicken ser en RDP-fil helt ofarlig ut. Det är bara en genväg för en fjärranslutning, den sortens fil systemadministratörer och supportteam skickar runt hela dagarna. Men just därför är den farlig. Öppna fel fil, och din maskin kan tvingas att ansluta till en server som kontrolleras av en angripare, vilket exponerar lokala enheter, urklippets innehåll och till och med autentiseringsuppgifter innan du inser vad som hänt.
En välkänd fil, en verklig risk
Det här är inte ett teoretiskt labsenario. APT29, den ryska gruppen med statliga kopplingar som också är känd för smygande spionagekampanjer, har redan använt falska RDP-filer i det vilda för att samla in inloggningsuppgifter och hämta data från riktade offer. Metoden fungerar eftersom den inte ser ut som ett angrepp. Den ser ut som ett dokument. Ett tråkigt sådant. Det är problemet.
Microsoft har länge försökt ge användare en tillsägelse när en RDP-fil känns misstänkt. Om filen är osignerad visar Windows en varning som i praktiken säger att fjärranslutningen är okänd och att utgivaren inte kan verifieras. Även om filen är signerad ber Windows fortfarande användaren bekräfta utgivaren innan något kopplas upp. En signatur kan hjälpa till att fastställa identitet, men gör inte filen säker automatiskt.
Vad som förändras efter uppdateringen
Det nya skyddsskiktet lägger till mer friktion på precis rätt ställe. Första gången du öppnar en RDP-fil efter att uppdateringen installerats visar Windows ett engångsmeddelande som förklarar vad filen gör och varför den kan vara riskfylld. Därefter utlöser varje direkt öppnande av en RDP-fil en säkerhetsdialog innan anslutningen tillåts fortsätta.
Den dialogrutan är mer användbar än den vanliga generiska varningen. Den visar om filen kommer från en verifierad, digitalt signerad utgivare. Den visar också den fjärradress du är på väg att kontakta och listar de lokala resurser filen vill omdirigera, såsom åtkomst till urklipp, lokala diskar och anslutna enheter. Inget delas som standard. Du måste aktivt tillåta det. Det är hela poängen.
Det finns en viktig detalj här. Dessa varningar gäller endast när en RDP-fil öppnas direkt. Om du använder standardklienten för Windows Fjärrskrivbord förblir upplevelsen oförändrad. För IT-team som absolut behöver tysta ner varningarna erbjuder Microsoft ett registerbaserat undantag. Men med tanke på hur effektivt missbruket av RDP-filer varit i verkliga attacker vore det riskabelt att stänga av skydden.
I praktiken gör Microsoft det säkerhetsteam har efterfrågat i åratal: de gör en farlig bekvämlighet lite mindre bekväm och betydligt säkrare.
Den kompromissen kommer förmodligen att irritera några avancerade användare. Okej. Säkerhet gör ofta det. Men om valet står mellan ett extra klick och att överlämna ditt urklipp, lokala filer eller inloggningsuppgifter till en angripare är svaret uppenbart.
Lämna en kommentar