Arquivos do Protocolo de Área de Trabalho Remota (RDP) são comumente usados em ambientes corporativos para agilizar conexões a sistemas remotos. Administradores podem pré-configurar esses arquivos para redirecionar automaticamente recursos locais para o host remoto. No entanto, atores de ameaças têm explorado cada vez mais essa funcionalidade em campanhas de phishing. O grupo de hacking APT29, patrocinado pelo estado russo, já utilizou arquivos RDP maliciosos para exfiltrar dados e credenciais de vítimas remotamente. Ao serem abertos, esses arquivos maliciosos se conectam a sistemas controlados pelo atacante e redirecionam unidades locais, concedendo acesso não autorizado a arquivos e credenciais armazenados no disco. Atacantes também podem interceptar dados da área de transferência, como senhas e textos sensíveis, ou redirecionar mecanismos de autenticação como smart cards ou **Windows** Hello para se passar por usuários. ## Novas Proteções para RDP são Implementadas Como parte das atualizações cumulativas de abril de 2026 para **Windows** 10 (KB5082200) e **Windows** 11 (KB5083769 e KB5082052), a **Microsoft** introduziu novas proteções projetadas para impedir a exploração de arquivos de conexão RDP maliciosos. "Atores maliciosos abusam dessa capacidade enviando arquivos RDP por e-mails de phishing", adverte a **Microsoft**. "Quando uma vítima abre o arquivo, seu dispositivo se conecta silenciosamente a um servidor controlado pelo atacante e compartilha recursos locais, dando ao atacante acesso a arquivos, credenciais e mais." Após instalar a atualização, os usuários encontrarão um prompt educacional único ao abrir um arquivo RDP pela primeira vez. Este prompt explica a natureza dos arquivos RDP e destaca os riscos potenciais. Os usuários devem confirmar que entendem os riscos para prosseguir, impedindo que o alerta apareça novamente.  Tentativas futuras de abrir arquivos RDP acionarão um diálogo de segurança antes que qualquer conexão seja estabelecida. Este diálogo exibe informações sobre se o arquivo RDP é assinado por um editor verificado, o endereço do sistema remoto e lista todas as redireções de recursos locais (unidades, área de transferência, dispositivos), com todas as opções desabilitadas por padrão. Se um arquivo não possuir uma assinatura digital, o **Windows** exibirá um aviso "Cuidado: Conexão remota desconhecida", indicando que o editor não pode ser verificado.  Mesmo que o arquivo RDP seja assinado digitalmente, o **Windows** exibirá o editor, mas ainda assim aconselhará os usuários a verificar sua legitimidade antes de se conectar. Essas novas proteções se aplicam exclusivamente a conexões iniciadas pela abertura de arquivos RDP, e não a conexões feitas diretamente através do cliente **Windows** Remote Desktop. Administradores podem desabilitar temporariamente essas proteções modificando o valor **RedirectionWarningDialogVersion** na chave de Registro **HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client**, definindo-o como **1**. No entanto, dado o abuso histórico de arquivos RDP em ataques, manter essas proteções é fortemente recomendado.