PhishingSchwachstellenHackerangriffe

Microsoft rüstet Windows gegen manipulierte Remote-Desktop-Dateien auf

Microsoft rüstet Windows gegen manipulierte Remote-Desktop-Dateien auf
Zusammenfassung

Microsoft verstärkt die Sicherheit vor Phishing-Angriffen, die Remote-Desktop-Dateien (.rdp-Dateien) missbrauchen. Das Unternehmen hat mit den April-Updates 2026 für Windows 10 und Windows 11 neue Schutzmaßnahmen implementiert, die vor dem Öffnen von RDP-Dateien warnen und gefährliche Ressourcen-Weiterleitungen standardmäßig deaktivieren. Remote-Desktop-Dateien werden häufig in Unternehmensumgebungen verwendet, um sich mit entfernten Systemen zu verbinden und lokale Ressourcen wie Festplatten, Zwischenablage oder Authentifizierungsmechanismen weiterzuleiten. Cyberkriminelle, einschließlich der russischen Hackergruppe APT29, haben diese Funktionalität bereits in Phishing-Kampagnen ausgenutzt, um Daten und Anmeldeinformationen zu stehlen. Die neuen Sicherheitsmaßnahmen zeigen bei erstmaligem Öffnen einer RDP-Datei eine Warnung an und fordern Benutzer auf, die Risiken zu bestätigen. Bei jeder Verbindung wird künftig ein Sicherheitsdialog angezeigt, der die Signierung der Datei überprüft und alle Ressourcen-Weiterleitungen auflistet. Für deutsche Unternehmen und Behörden ist dies besonders relevant, da RDP-Dateien weit verbreitet sind und Mitarbeiter durch diese Schutzmaßnahmen besser vor gezielten Angriffen geschützt werden.

Bisher waren Remote-Desktop-Dateien (.rdp) ein beliebtes Werkzeug für legitime IT-Administratoren: Sie ermöglichen es, Remote-Verbindungen vorkonfigurieren, um lokale Ressourcen automatisch auf entfernte Systeme umzuleiten. Doch genau diese Funktionalität haben Cyberkriminelle zum Angriffsinstrument umgewandelt.

Wenn ein Opfer eine manipulierte RDP-Datei öffnet, verbindet sich das System im Hintergrund mit einem attacker-kontrollierten Server. Die Geräteressourcen werden weitergeleitet – lokale Festplatten, Zwischenablage mit möglicherweise gespeicherten Passwörtern, sogar Smart Cards und biometrische Authentifizierungsmethoden. Für Hacker öffnet sich damit eine Tür direkt in die sensiblen Bereiche des Computers.

Mit den April-2026-Updates (KB5082200 für Windows 10 sowie KB5083769 und KB5082052 für Windows 11) hat Microsoft nun Gegenmaßnahmen implementiert. Die erste Ebene: eine aufklärende Warnung beim erstmaligen Öffnen einer RDP-Datei. Nutzer werden über die Risiken informiert und müssen bestätigen, dass sie diese verstanden haben.

Das Herzstück der neuen Schutzfunktion ist ein Sicherheitsdialog, der vor jeder Verbindung eingeblendet wird. Dieser zeigt an, ob die RDP-Datei von einem verifizierten Herausgeber digital signiert ist, welche Remote-Adresse angesteuert wird, und listet alle Ressourcenumleitungen auf – standardmäßig sind diese alle deaktiviert.

Besonders wichtig: Nicht signierte Dateien werden als “Warnung: Unbekannte Remote-Verbindung” gekennzeichnet, mit dem Herausgeber als “Unbekannt” markiert. Damit ist sofort erkennbar, dass es keine Möglichkeit gibt, die Authentizität zu verifizieren. Auch bei signierten Dateien warnt Windows, die Legitimitätsdes Herausgebers selbst zu überprüfen.

Ein wichtiger Hinweis für Administratoren: Diese Schutzmaßnahmen gelten nur für RDP-Dateien, nicht für Verbindungen über den Windows-Remote-Desktop-Client. Theoretisch können Administratoren die Schutzfunktionen über die Registry deaktivieren – das wird aber strikt nicht empfohlen, da RDP-Dateien eine etablierte Angriffsvektor bleiben.

Für deutsche Unternehmen bedeutet dies eine wichtige Sicherheitsverbesserung, besonders für Mitarbeiter im Home-Office, die Remote-Verbindungen nutzen. Die neuen Warnmechanismen und Standarddeaktivierungen von Ressourcenumleitungen senken das Risiko erheblich, dass Phishing-Opfer unwissentlich ihre Systeme kompromittieren.

Ähnliche Artikel