Mudança comportamental no Windows Remote Desktop
A Microsoft implementou uma mudança comportamental significativa no aplicativo de Conexão de Área de Trabalho Remota do Windows (MSTSC) como parte de sua atualização de segurança de Patch Tuesday de abril de 2026, introduzindo novos diálogos de aviso projetados para proteger os usuários de ataques de phishing que exploram arquivos de Protocolo de Área de Trabalho Remota (.rdp).
Arquivos de Área de Trabalho Remota (.rdp) têm sido cada vez mais armados por agentes de ameaças para enganar os usuários e estabelecer conexões que redirecionam silenciosamente sessões para infraestrutura controlada por atacantes. Uma das campanhas mais notáveis envolveu o Midnight Blizzard, um grupo de ameaças patrocinado pelo estado russo que distribuiu arquivos RDP maliciosos como anexos de e-mail em operações de spear-phishing em larga escala.
Diálogos de segurança aprimorados
A atualização de Patch Tuesday de 14 de abril de 2026 da Microsoft (KB5083769 para as compilações Windows 11 26200.8246 e 26100.8246) introduz duas experiências de diálogo distintas quando um usuário abre um arquivo .rdp:
- Diálogo de educação de primeira vez (uma vez por conta): A primeira vez que um usuário abre um arquivo .rdp após a atualização, o Windows exibe um prompt informativo que explica o que são arquivos RDP e por que podem ser perigosos.
- Diálogo de segurança por conexão (mostrado a cada vez): Cada vez subsequente que um arquivo RDP é aberto, um diálogo de aviso de segurança aparece antes que qualquer conexão seja estabelecida.
Este diálogo revela o endereço do computador remoto, indica se o arquivo é digitalmente assinado por um editor verificado e lista todas as redirecionamentos de recursos locais que o arquivo solicita, como unidades, áreas de transferência, impressoras, cartões inteligentes e credenciais WebAuthn. Criticamente, cada opção de redirecionamento de recurso é desativada (OFF) por padrão, exigindo que os usuários verifiquem e aprovem explicitamente cada item antes de se conectar.
Proteção contra arquivos não assinados
Quando um arquivo .rdp não é digitalmente assinado ou quando o editor não pode ser verificado, o diálogo de segurança agora exibe proeminentemente um banner "Cuidado: Conexão remota desconhecida" com destaque de aviso laranja. O campo editor mostra "Editor desconhecido", sinalizando este como o cenário de maior risco para adulteração ou phishing.
A filosofia de design geral por trás desta atualização é segura por padrão. Anteriormente, os usuários não recebiam nenhum aviso ao abrir um arquivo RDP, tornando trivialmente fácil para arquivos maliciosos solicitar acesso local amplo silenciosamente. Com a atualização de abril de 2026, o compartilhamento inseguro de recursos torna-se uma exceção que requer consentimento ativo do usuário, não um padrão herdado do próprio arquivo.
Mitigação e recomendações para administradores
Administradores que precisam reverter temporariamente para o comportamento de diálogo legado podem fazê-lo modificando o valor de registro RedirectionWarningDialogVersion sob HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client e definindo-o para 1, embora isso não seja recomendado como solução de longo prazo.
Organizações também são aconselhadas a revisar suas práticas de distribuição de arquivos RDP e padronizar o uso de arquivos de conexão assinados para reduzir o risco de abuso de "anexo confiável". A implementação de políticas de grupo para forçar a assinatura de arquivos RDP e a desativação de redirecionamentos de recursos por padrão são medidas recomendadas para fortalecer a postura de segurança.
Implicações para a segurança corporativa
Esta atualização representa um passo significativo na proteção contra ataques de phishing baseados em RDP, que têm sido uma vetora de entrada comum para comprometimentos de rede. A exigência de aprovação explícita para redirecionamentos de recursos reduz significativamente a superfície de ataque para ataques de movimento lateral e roubo de credenciais. CISOs devem garantir que suas equipes de TI estejam cientes dessas mudanças e que os usuários finais recebam treinamento adequado sobre os novos diálogos de segurança.