Remote Desktop Protocol (RDP)-Dateien werden häufig in Unternehmensumgebungen verwendet, um Verbindungen zu entfernten Systemen zu vereinfachen. Administratoren können diese Dateien vorkonfigurieren, um lokale Ressourcen automatisch auf den entfernten Host umzuleiten. Bedrohungsakteure haben diese Funktionalität jedoch zunehmend in Phishing-Kampagnen ausgenutzt. Die von der russischen Regierung unterstützte APT29-Hacking-Gruppe hat zuvor bösartige RDP-Dateien verwendet, um Daten und Anmeldeinformationen von Opfern remote zu exfiltrieren. Beim Öffnen verbinden sich diese bösartigen Dateien mit Angreifer-kontrollierten Systemen und leiten lokale Laufwerke um, wodurch unbefugter Zugriff auf Dateien und Anmeldeinformationen auf der Festplatte gewährt wird. Angreifer können auch Clipboard-Daten, wie Passwörter und sensible Texte, abfangen oder Authentifizierungsmechanismen wie Smartcards oder **Windows** Hello umleiten, um Benutzer zu impersonieren. ## Neue RDP-Schutzmaßnahmen werden ausgerollt Als Teil der kumulativen Updates vom April 2026 für **Windows** 10 (KB5082200) und **Windows** 11 (KB5083769 und KB5082052) hat **Microsoft** neue Schutzmaßnahmen eingeführt, die darauf abzielen, die Ausnutzung bösartiger RDP-Verbindungsdateien zu verhindern. "Bösartige Akteure missbrauchen diese Funktion, indem sie RDP-Dateien über Phishing-E-Mails versenden", warnt **Microsoft**. "Wenn ein Opfer die Datei öffnet, verbindet sich sein Gerät stillschweigend mit einem vom Angreifer kontrollierten Server und teilt lokale Ressourcen, wodurch der Angreifer Zugriff auf Dateien, Anmeldeinformationen und mehr erhält." Nach der Installation des Updates sehen Benutzer bei der ersten Öffnung einer RDP-Datei eine einmalige Schulungsaufforderung. Diese Aufforderung erklärt die Natur von RDP-Dateien und hebt potenzielle Risiken hervor. Benutzer müssen bestätigen, dass sie die Risiken verstehen, um fortzufahren, wodurch die Benachrichtigung nicht erneut angezeigt wird.  Zukünftige Versuche, RDP-Dateien zu öffnen, lösen vor jeder Verbindungsherstellung einen Sicherheitsdialog aus. Dieser Dialog zeigt Informationen darüber an, ob die RDP-Datei von einem verifizierten Herausgeber signiert ist, die Adresse des entfernten Systems und listet alle lokalen Ressourcenumleitungen (Laufwerke, Clipboard, Geräte) auf, wobei jede Option standardmäßig deaktiviert ist. Wenn eine Datei keine digitale Signatur aufweist, zeigt **Windows** eine Warnung "Vorsicht: Unbekannte Remote-Verbindung" an, die darauf hinweist, dass der Herausgeber nicht verifiziert werden kann.  Selbst wenn die RDP-Datei digital signiert ist, zeigt **Windows** den Herausgeber an, rät den Benutzern jedoch weiterhin, deren Legitimität zu überprüfen, bevor sie eine Verbindung herstellen. Diese neuen Schutzmaßnahmen gelten ausschließlich für Verbindungen, die durch das Öffnen von RDP-Dateien initiiert werden, und nicht für Verbindungen, die direkt über den **Windows** Remote Desktop Client hergestellt werden. Administratoren können diese Schutzmaßnahmen vorübergehend deaktivieren, indem sie den Wert **RedirectionWarningDialogVersion** im Registrierungsschlüssel **HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client** ändern und ihn auf **1** setzen. Angesichts des historischen Missbrauchs von RDP-Dateien bei Angriffen wird die Beibehaltung dieser Schutzmaßnahmen jedoch dringend empfohlen.