3 Minuten
Einer der hinterhältigsten Angriffswege in der Unternehmens-IT ist deutlich schwerer auszunutzen geworden. Mit den kumulativen Updates vom April 2026 für Windows 10 und Windows 11 verschärft Microsoft die Kontrolle über das Remote-Desktop-Protokoll, die unscheinbare RDP-Datei und den stillen Trick, den Angreifer genutzt haben, um sie in ein Phishing-Werkzeug zu verwandeln.
Auf den ersten Blick wirkt eine RDP-Datei harmlos. Sie ist nur eine Verknüpfung für eine Remote-Verbindung, so etwas, das Systemadministratoren und Supportteams den ganzen Tag weitergeben. Genau das macht sie gefährlich. Öffnet man die falsche Datei, kann der Rechner dazu gebracht werden, eine Verbindung zu einem von Angreifern kontrollierten Server aufzubauen und lokale Laufwerke, Zwischenablagedaten und sogar Anmeldedaten offenzulegen, bevor man überhaupt merkt, was passiert ist.
Eine vertraute Datei, ein reales Risiko
Das ist kein theoretisches Laborszenario. APT29, die mit dem russischen Staat in Verbindung gebrachte Gruppe, die auch für heimliche Spionagekampagnen bekannt ist, hat bereits manipulierte RDP-Dateien im Einsatz genutzt, um Zugangsdaten zu ernten und Daten von gezielten Opfern zu ziehen. Die Methode funktioniert, weil sie nicht wie ein Angriff wirkt. Sie sieht aus wie ein Dokument. Ein langweiliges. Das ist das Problem.
Microsoft hat lange versucht, Nutzer zu warnen, wenn eine RDP-Datei verdächtig erscheint. Ist die Datei nicht signiert, zeigt Windows eine Warnung an, die im Grunde aussagt, dass die Remoteverbindung unbekannt ist und der Herausgeber nicht verifiziert werden kann. Selbst wenn die Datei signiert ist, bittet Windows die Nutzer weiterhin, den Herausgeber zu bestätigen, bevor eine Verbindung zustande kommt. Eine Signatur kann helfen, die Identität zu bestätigen, macht die Datei jedoch nicht automatisch sicher.
Was sich nach dem Update ändert
Die neue Schutzschicht fügt an genau der richtigen Stelle mehr Reibung hinzu. Beim ersten Öffnen einer RDP-Datei nach der Installation des Updates zeigt Windows eine einmalige Informationsmeldung, die erklärt, was die Datei bewirkt und warum sie riskant sein kann. Danach löst jeder direkte Start einer RDP-Datei einen Sicherheitsdialog aus, bevor die Verbindung zugelassen wird.
Dieser Hinweis ist nützlicher als die übliche generische Warnung. Er zeigt, ob die Datei von einem verifizierten, digital signierten Herausgeber stammt. Außerdem offenbart er die Remote-Adresse, die Sie zu kontaktieren beabsichtigen, und listet die lokalen Ressourcen auf, die die Datei umleiten möchte, wie Zwischenablagezugriff, Laufwerke und angeschlossene Geräte. Standardmäßig wird nichts geteilt. Sie müssen es aktiv zulassen. Das ist der Sinn der Maßnahme.
Ein wichtiges Detail: Diese Warnungen gelten nur, wenn eine RDP-Datei direkt geöffnet wird. Wenn Sie den standardmäßigen Windows-Remote-Desktop-Client verwenden, bleibt die Erfahrung unverändert. Für IT-Teams, die die Aufforderungen unbedingt unterdrücken müssen, bietet Microsoft zwar eine registry-basierte Ausnahmelösung. Angesichts der Effektivität des Missbrauchs von RDP-Dateien in realen Angriffen wäre es jedoch riskant, die Schutzmechanismen zu deaktivieren.
Praktisch gesehen macht Microsoft genau das, worum Sicherheitsteams seit Jahren gebeten haben: eine gefährliche Annehmlichkeit etwas weniger bequem und deutlich sicherer zu machen.
Dieser Kompromiss wird wahrscheinlich einige Power-User verärgern. Egal. Sicherheit ist oft unbequem. Wenn die Wahl jedoch zwischen einem zusätzlichen Klick und dem Übergeben Ihrer Zwischenablage, lokalen Dateien oder Anmeldedaten an einen Angreifer steht, ist die Entscheidung eindeutig.
Kommentar hinterlassen