Microsoft utrudnia ataki przez pliki RDP. Windows pokaże nowe ostrzeżenia

2026-04-15

TL;DR

Microsoft wprowadził nowe zabezpieczenia dla plików .rdp, czyli plików używanych do połączeń przez Remote Desktop. Takie pliki mogą zostać użyte w phishingu i doprowadzić nie tylko do połączenia z obcym hostem, ale też do udostępnienia lokalnych zasobów komputera. To przypomnienie, że niebezpieczny plik nie musi być makrem w Wordzie ani archiwum ZIP. Czasem wystarczy pozornie techniczny plik połączenia.

O co chodzi w zmianie Microsoftu

Jak opisuje BleepingComputer, a potwierdza to oficjalna dokumentacja Microsoft Learn, od aktualizacji bezpieczeństwa z kwietnia 2026 system Windows pokazuje nowe ostrzeżenia podczas otwierania plików .rdp.

Przy pierwszym otwarciu takiego pliku użytkownik zobaczy jednorazowy komunikat edukacyjny wyjaśniający ryzyko. Przy kolejnych próbach pojawi się już ekran bezpieczeństwa z adresem zdalnego hosta oraz listą lokalnych zasobów, do których plik chce uzyskać dostęp. Co najważniejsze, wszelkie przekierowania i udostępnienia są teraz domyślnie wyłączone i trzeba je włączyć ręcznie.

To dobra zmiana, bo wcześniej użytkownik mógł potraktować plik .rdp jak zwykły element techniczny. W praktyce taki plik może żądać dostępu do schowka, dysków lokalnych, drukarek, mikrofonu, kamery, smart card, Windows Hello czy nawet kluczy bezpieczeństwa używanych do WebAuthn.

Dlaczego to ma znaczenie

Z perspektywy użytkownika plik .rdp nie wygląda jak klasyczny nośnik ataku. Nie budzi takiej samej czujności jak podejrzany plik .exe albo archiwum ZIP. A jednak po jego otwarciu może dojść do połączenia z infrastrukturą kontrolowaną przez napastnika oraz do udostępnienia części lokalnego środowiska.

Microsoft wprost opisuje w dokumentacji, że złośliwi aktorzy wysyłają takie pliki w wiadomościach phishingowych. Po ich otwarciu urządzenie ofiary może połączyć się z serwerem napastnika i udostępnić lokalne zasoby, co może prowadzić do kradzieży plików, schowka, danych uwierzytelniających i innych wrażliwych informacji.

To właśnie dlatego ten scenariusz nie jest niszową ciekawostką techniczną, tylko realnym wektorem wejścia.

To nie jest teoretyczne ryzyko

W październiku 2024 roku Microsoft Threat Intelligence opisał kampanię Midnight Blizzard, w której atakujący wysyłali do tysięcy użytkowników w ponad 100 organizacjach wiadomości spear phishingowe z podpisanymi plikami .rdp. Po otwarciu takiego pliku dochodziło do połączenia z serwerem kontrolowanym przez napastnika i do dwukierunkowego mapowania lokalnych zasobów urządzenia.

To pokazuje, że pliki RDP mogą być używane nie tylko do prostego połączenia zdalnego, ale też do przejęcia dostępu do lokalnych dysków, schowka, urządzeń peryferyjnych, metod uwierzytelniania czy danych z sesji. W praktyce taki plik może stać się pomostem między socjotechniką a techniczną kompromitacją stacji roboczej.

Przed czym jest ostrzeżenie?

Nowy ekran bezpieczeństwa pokazuje nie tylko to, że plik próbuje otworzyć zdalne połączenie. Pokazuje też, jakie zasoby lokalne chce przekazać dalej. To zmienia bardzo dużo, bo użytkownik widzi już nie sam fakt połączenia, ale jego skutki.

Na liście mogą znaleźć się między innymi:

• dyski lokalne i dyski sieciowe
• schowek
• drukarki
• mikrofon i kamera
• smart cards oraz Windows Hello for Business
• WebAuthn, czyli passkeys i klucze bezpieczeństwa
• inne urządzenia lokalne

Jeśli plik nie jest podpisany cyfrowo, Windows oznaczy go jako połączenie z nieznanym wydawcą. Jeśli jest podpisany, system pokaże wydawcę, ale nadal oczekuje, że użytkownik zweryfikuje, czy naprawdę ufa temu źródłu. Sam podpis nie oznacza jeszcze bezpieczeństwa.

Co to oznacza dla firm

Ta zmiana jest ważna nie tylko dla administratorów, ale też dla zwykłych użytkowników. W firmach plik techniczny bardzo łatwo może zostać uznany za coś normalnego, zwłaszcza gdy pojawia się w kontekście pomocy technicznej, zdalnej pracy, wsparcia dostawcy albo pilnego dostępu do systemu.

Niebezpieczny nośnik nie musi wyglądać jak malware. Czasem wygląda jak zwykły plik konfiguracyjny.

Dobrze pasuje tu szerszy kontekst opisany w materiale co to jest phishing. Wspólny mianownik pozostaje ten sam: napastnik chce, żeby odbiorca wykonał pozornie logiczny krok bez chwili zatrzymania i weryfikacji.

Jeśli w organizacji pracownicy są już wyczuleni na fałszywe strony logowania, warto rozszerzyć tę czujność także na pliki techniczne i nietypowe załączniki. Zobacz też wpis o złośliwym załączniku w mailu z fakturą w ZIP, bo mechanizm psychologiczny jest podobny, mimo że format pliku jest inny.

Gdzie firmy mogą się pomylić

Najczęstszy błąd polega na założeniu, że jeśli coś nie jest makrem, PDF-em albo stroną logowania, to ryzyko jest małe. Tymczasem taki plik może prowadzić do realnego przejęcia zasobów lokalnych albo otworzyć drogę do kolejnego etapu ataku.

Drugi błąd to nadmierne zaufanie do kontekstu technicznego. Gdy wiadomość wygląda jak kontakt od administratora, dostawcy, partnera albo supportu, wiele osób zakłada, że plik .rdp jest po prostu częścią procedury. To właśnie ten odruch należy przełamać.

Trzeci problem to brak świadomości, że phishing coraz częściej nie kończy się na samej skrzynce mailowej. Coraz częściej prowadzi do przejęcia sesji, urządzenia, metod uwierzytelniania albo lokalnych zasobów. Dobrze pokazuje to także wpis Industrializacja phishingu. Jak model PhaaS zamienia pojedynczy atak w pipeline oszustwa, gdzie sam e-mail jest tylko początkiem całego łańcucha.

Co warto zrobić w praktyce

Po stronie użytkownika najważniejsze są trzy rzeczy. Nie otwierać nieoczekiwanego pliku .rdp. Sprawdzić, do jakiego hosta ma prowadzić połączenie. Nie włączać przekierowania lokalnych zasobów, jeśli nie są naprawdę potrzebne.

Po stronie IT i security warto dopisać ten scenariusz do materiałów awareness, procedur zgłaszania incydentów i ćwiczeń dla pracowników. W wielu firmach wiedza o phishingu kończy się na linkach i załącznikach biurowych. Tymczasem pliki RDP pokazują, że nośnik ataku może wyglądać dużo bardziej technicznie i przez to bywa mniej podejrzany.

Dodatkowo warto sprawdzić, czy użytkownicy wiedzą, że sam podpis cyfrowy nie oznacza automatycznie bezpieczeństwa. Windows słusznie pokazuje teraz wydawcę, ale nadal zostawia użytkownikowi decyzję, czy ufa tej konkretnej organizacji i temu konkretnemu scenariuszowi.

Co warto zapamiętać o nowym ostrzeżeniu

Nowe ostrzeżenia dla plików .rdp to dobra i potrzebna zmiana. Nie rozwiązują całego problemu, ale utrudniają scenariusz, w którym użytkownik otwiera techniczny plik bez refleksji i nie zauważa, że właśnie udostępnia część swojego środowiska obcej stronie.

Phishing nie musi dziś wyglądać jak oczywista podróbka strony logowania. Może wyglądać jak poprawny technicznie plik połączenia, który trafia do skrzynki w odpowiednim kontekście. I właśnie dlatego warto szkolić ludzi nie tylko z rozpoznawania fałszywych loginów, ale też z rozpoznawania nietypowych plików, żądań dostępu i sytuacji, w których technika ma uśpić czujność.

Jeśli chcesz sprawdzić, czy Twoi pracownicy wychwytują takie sygnały ostrzegawcze zanim klikną, zacznij od krótkiego quizu phishingowego PHISHLY.