Microsoft blocca RDP files non firmati: nuove protezioni contro phishing e furto credenziali

Nuove Protezioni RDP in Windows

Microsoft ha introdotto nuove protezioni per contrastare gli attacchi di phishing che sfruttano i file di connessione Remote Desktop (.rdp), disabilitando di default le risorse condivise a rischio e aggiungendo avvisi di sicurezza. Questi file, ampiamente utilizzati negli ambienti aziendali per connettersi a sistemi remoti, possono essere preconfigurati per reindirizzare risorse locali al host remoto, un meccanismo spesso abusato dai threat actor.

Il gruppo APT29, noto per essere sponsorizzato dallo stato russo, ha sfruttato in passato file RDP falsi per rubare dati e credenziali dalle vittime. Quando aperti, questi file stabiliscono connessioni con sistemi controllati dagli attaccanti, permettendo il reindirizzamento di unità locali, il furto di file e credenziali, la cattura di dati dalla clipboard e il reindirizzamento di meccanismi di autenticazione come smart card o Windows Hello.

Le nuove protezioni sono state rilasciate con gli aggiornamenti cumulativi di aprile 2026 per Windows 10 (KB5082200) e Windows 11 (KB5083769 e KB5082052). Dopo l'installazione dell'aggiornamento, gli utenti vedranno un prompt educativo al primo avvio di un file RDP, che spiega i rischi associati e richiede di riconoscere tali rischi per procedere.

Successivamente, ogni tentativo di apertura di un file RDP mostrerà un dialogo di sicurezza che indica se il file è firmato da un publisher verificato, l'indirizzo del sistema remoto e l'elenco delle risorse locali reindirizzate, con tutte le opzioni disabilitate di default. Se il file non è firmato digitalmente, Windows mostrerà un avviso "Attenzione: Connessione remota sconosciuta" e etichetterà il publisher come sconosciuto.

Anche se un file RDP è firmato digitalmente, Windows continuerà a mostrare un avviso che invita a verificare la legittimità del publisher prima di connettersi. Queste protezioni si applicano solo alle connessioni avviate aprendo file RDP, non a quelle effettuate tramite il client Windows Remote Desktop.

di mercato/sicurezza

Microsoft ha introdotto nuove protezioni per Windows volte a contrastare gli attacchi di phishing che sfruttano i file di connessione Remote Desktop (.rdp), abilitando avvisi e disabilitando le risorse condivise a rischio per impostazione predefinita. Questa mossa risponde a un trend crescente di abuso di questa funzionalità da parte di attori malintenzionati, tra cui il gruppo APT29, noto per aver utilizzato file RDP malevoli per rubare dati e credenziali.

L'impatto sul settore enterprise è significativo, poiché i file RDP sono comunemente utilizzati per connettersi a sistemi remoti, con gli amministratori che li preconfigurano per reindirizzare le risorse locali all'host remoto. Gli attacchi sfruttano questa capacità per connettersi a sistemi controllati dagli attaccanti e reindirizzare unità locali, permettendo il furto di file e credenziali.

Le nuove protezioni sono state rilasciate con gli aggiornamenti cumulativi di aprile 2026 per Windows 10 (KB5082200) e Windows 11 (KB5083769 e KB5082052). Queste includono un prompt educativo una tantum che spiega i rischi associati ai file RDP e un dialogo di sicurezza che mostra se il file è firmato da un editore verificato, l'indirizzo del sistema remoto e tutte le opzioni di reindirizzamento delle risorse locali disabilitate per impostazione predefinita.

Le protezioni si applicano solo alle connessioni avviate aprendo file RDP, non a quelle effettuate tramite il client Remote Desktop di Windows. Gli amministratori possono disabilitare temporaneamente queste protezioni modificando il valore RedirectionWarningDialogVersion nel registro di sistema, ma Microsoft sconsiglia vivamente di farlo.

La reazione degli utenti evidenzia sfide operative immediate, con commenti che segnalano confusione e interruzioni del lavoro. Un utente ha riportato che i file RDP non sono solitamente firmati digitalmente, portando gli utenti a procedere con la connessione nonostante gli avvisi, scoprendo poi che i loro dispositivi non funzionano correttamente.

Nuove protezioni Microsoft per contrastare gli attacchi via RDP

Microsoft ha introdotto nuove misure di sicurezza per difendersi dagli attacchi di phishing che sfruttano i file di connessione Remote Desktop (.rdp), aggiungendo avvisi e disabilitando le risorse condivise a rischio per impostazione predefinita. Questi file sono comunemente utilizzati negli ambienti aziendali per connettersi a sistemi remoti, ma possono essere abusati per rubare dati e credenziali.

Le nuove protezioni sono state rilasciate con gli aggiornamenti cumulativi di aprile 2026 per Windows 10 (KB5082200) e Windows 11 (KB5083769 e KB5082052). Quando gli utenti aprono un file RDP per la prima volta, viene mostrato un prompt educativo che spiega i rischi associati a questi file. Successivamente, prima di stabilire qualsiasi connessione, viene visualizzato un dialogo di sicurezza che mostra se il file è firmato da un editore verificato, l'indirizzo del sistema remoto e tutte le reindirizzazioni delle risorse locali, disabilitate per impostazione predefinita.

Se il file RDP non è firmato digitalmente, Windows visualizza un avviso "Attenzione: Connessione remota sconosciuta" e etichetta l'editore come sconosciuto. Se il file è firmato digitalmente, Windows mostra l'editore ma invita comunque a verificare la sua legittimità prima di connettersi.

Conclusioni

Le nuove protezioni di Microsoft sugli file RDP rappresentano un passo avanti significativo nella lotta contro gli attacchi di phishing, ma introducono anche nuove sfide operative. La disabilitazione predefinita delle risorse condivise e l'obbligo di verifica manuale per ogni connessione potrebbero rallentare i flussi di lavoro legittimi, soprattutto in ambienti enterprise dove gli RDP sono strumenti critici.

L'assenza di file RDP firmati digitalmente nel mondo reale, come evidenziato dai commenti degli utenti, suggerisce che molte organizzazioni potrebbero ignorare i warning e procedere comunque, vanificando l'efficacia delle nuove misure. Questo solleva dubbi sulla reale adottabilità delle protezioni senza un cambiamento culturale o tecnico più ampio.

In futuro, ci si aspetta che gli attori malintenzionati adattino le proprie tattiche, esplorando altre vulnerabilità o sfruttando la confusione iniziale degli utenti per bypassare i controlli. La comunità della sicurezza dovrà monitorare da vicino l'evoluzione delle campagne di phishing e valutare se Microsoft introdurrà ulteriori miglioramenti, come l'integrazione con soluzioni di autenticazione avanzata o la firma obbligatoria per i file RDP.

Infine, l'esperienza di aggiornamenti passati indica che le organizzazioni potrebbero dover bilanciare sicurezza e usabilità, considerando l'opzione di disabilitare temporaneamente le protezioni solo per i casi d'uso critici, mantenendo comunque un monitoraggio stretto delle attività sospette.