Microsoft’tan Yeni Koruma Önlemleri
Microsoft, uzaktan masaüstü bağlantılarını (RDP) kötüye kullanan oltalama saldırılarına karşı yeni Windows koruma önlemleri geliştirdi. Bu önlemler, kullanıcıları tehlikeleri hakkında uyararak ve riskli paylaşımları varsayılan olarak devre dışı bırakarak koruma sağlamaktadır.
Saldırı Nasıl Çalışıyor?
RDP dosyaları, kurumsal ortamlarda uzaktan sistemlere bağlanmak için yaygın olarak kullanılır. Bu dosyalar, yöneticilerin yerel kaynakları otomatik olarak uzaktan sunucuya yönlendirmesine olanak tanır. Ancak kötü niyetli aktörler, bu işlevselliği oltalama kampanyalarında suistimal etmektedir.
- Örneğin, Rusya destekli APT29 hacking grubu, kurbanların verilerini ve kimlik bilgilerini çalmak için sahte RDP dosyaları kullanmıştır.
- Açıldıklarında, bu dosyalar saldırganın kontrolündeki sistemlere bağlanabilir ve yerel sürücüleri bağlanan cihaza yönlendirebilir.
- Bu süreçte, saldırganın cihazı, disk üzerinde saklanan dosyaları ve kimlik bilgilerini çalabilir.
- Ayrıca, panoya kaydedilen şifreler gibi hassas verileri ele geçirebilir veya kullanıcıları taklit etmek için kimlik doğrulama mekanizmalarını yönlendirebilir.
Yeni RDP Koruma Önlemleri
Nisan 2026 güncellemeleri çerçevesinde, Windows 10 (KB5082200) ve Windows 11 (KB5083769 ve KB5082052) için Microsoft, kötü niyetli RDP bağlantı dosyalarının kullanılmasını önlemeye yönelik yeni koruma önlemleri yayınladı.
Microsoft, “Kötü niyetli aktörler, bu yeteneği oltalama e-postaları aracılığıyla RDP dosyaları göndererek kötüye kullanmaktadır.” diyerek uyarıda bulunmaktadır.
Güncellemeyi kuran kullanıcılar, RDP dosyasını ilk kez açtıklarında, RDP dosyalarının ne olduğunu açıklayan ve risklere dair uyarıda bulunan bir eğitim penceresi ile karşılaşacaklardır. Kullanıcılar, bu riskleri anladıklarını onaylayarak “Tamam” butonuna basarak bir daha uyarının gösterilmesini önleyebilirler.
Kaynak: Microsoft
Gelecekte RDP dosyalarını açma girişimleri, bağlantı kurulmadan önce bir güvenlik diyalogu gösterecektir.
Bu diyalogda, RDP dosyasının bir onaylı yayıncı tarafından imzalanıp imzalanmadığı, uzaktaki sistemin adresi ve yerel kaynak yönlendirmelerinin (sürücüler, pano veya cihazlar gibi) listesi yer alacaktır; her seçenek varsayılan olarak devre dışı bırakılacaktır.
Eğer dosya dijital olarak imzalanmamışsa, Windows “Dikkat: Bilinmeyen uzaktan bağlantı” uyarısını göstererek yayımcının bilinmeyen olduğunu belirtecektir.
Kaynak: Microsoft
Eğer RDP dosyası dijital olarak imzalanmışsa, Windows yayıncı adını gösterecek, fakat yine de bağlantıdan önce geçerliliğini doğrulamanız için uyarıda bulunacaktır.
Bu yeni koruma önlemlerinin yalnızca RDP dosyalarını açarak başlatılan bağlantılar için geçerli olduğu, Windows Uzaktan Masaüstü istemcisi aracılığıyla yapılan bağlantılarda geçerli olmadığı önemle vurgulanmalıdır.
Microsoft, yöneticilerin bu koruma önlemlerini geçici olarak devre dışı bırakmak istediklerinde HKLMSoftwarePoliciesMicrosoftWindows NTTerminal ServicesClient Kayıt defteri anahtarına giderek RedirectionWarningDialogVersion değerini 1 olarak değiştirebileceklerini belirtmiştir. Ancak, RDP dosyalarının geçmişte saldırılarda kötüye kullanılması göz önüne alındığında, bu koruma önlemlerinin aktif tutulması şiddetle önerilmektedir.
Sonuç
Kullanıcıların, RDP bağlantı dosyalarını açmadan önce dikkatli olmaları ve yalnızca güvenilir kaynaklardan dosya almalarını öneriyoruz. Ayrıca, işletim sisteminizi güncel tutmanız, şüpheli dosyaları açmaktan kaçınmanız ve zararlı yazılım koruma yazılımları kullanarak sisteminizi koruma altına almanız gerekmektedir. RDP dosyalarını kullanırken dikkatli olmak, siber saldırılara karşı en etkili önlemlerden biridir.
