RDP Dosyalarının Sorunları
Uzak Masaüstü Protokolü (RDP) dosyaları, kurumsal ortamlarda yaygın olarak kullanılan bir araçtır. Sistem yöneticileri, uzaktaki sistemlere bağlantıları önceden yapılandırmak için bu dosyaları kullanır. Ancak, bu işlevsellik kötüye kullanılabilir. Yanlış bir RDP dosyasını açtığınızda, cihazınız bir saldırgan kontrolündeki sunucuya sessizce bağlanabilir. Bu durum, yerel sürücülere, pano içeriklerine ve kimlik bilgilerine erişim sağlayabilir, üstelik siz bunun farkında bile olmayabilirsiniz.
Bu tehdit, teorik bir sorun değil. Rusya destekli APT29 siber saldırı grubu, bu yöntemi gerçek dünya oltalama kampanyalarında kullanarak, sahte RDP dosyalarıyla verileri ve kimlik bilgilerini hedeflerinden çalmıştır. Saldırı, görünüşte masum olan bir dosya üzerinden gerçekleştirildiği için etkili olur.
Eğer RDP dosyası imzalanmamışsa, Windows “Dikkat: Bilinmeyen uzak bağlantı” uyarısı gösterir ve yayımlayıcıyı bilinmeyen olarak işaretler. Microsoft’un bu şekilde size iletmek istediği mesaj, dosyanın kimin tarafından yaratıldığına dair bir güvence olmadığıdır. İmzalı bir dosya bile, bağlanmadan önce yayımlayıcının güvenilirliğini doğrulamanızı gerektirir. Yani imzalama, dosyayı otomatik olarak güvenilir kılmaz.
Microsoft'un Değişiklikleri
Microsoft, yeni güvenlik önlemlerini birkaç katmanda geliştirmiştir. Güncellemeyi yükledikten sonra RDP dosyasını ilk açtığınızda, Windows bir kezlik eğitim uyarısı gösterir. Bu uyarı, RDP dosyalarının ne yaptığını ve taşıdığı riskleri açıklar. Onayladığınızda, tamam butonuna basmanız yeterli.
Sonrasında, her açmaya çalıştığınız RDP dosyası, bağlantı kurmadan önce bir güvenlik diyalogu tetikler. Bu diyalog, dosyanın doğrulanmış bir yayımlayıcı tarafından dijital olarak imzalanıp imzalanmadığını belirtir, bağlanacağınız uzak sistemin adresini gösterir ve dosyanın yönlendirmeye çalıştığı yerel kaynakları listeler. Önemli bir nokta, bu yönlendirmelerin varsayılan olarak kapalı olmasıdır. Yani, hiçbir şey paylaşılmaz; yalnızca siz izin verdiğinizde bağlantı kurulacaktır.
Ancak bu korumalar, yalnızca RDP dosyasını doğrudan açtığınızda devreye girer. Windows Uzak Masaüstü istemcisi üzerinden yapılan bağlantılar, bu güncellemeden etkilenmez ve deneyim değişmez. Yöneticiler, bu uyarıları geçici olarak devre dışı bırakmak için bir kayıt anahtarı kullanabilir. Fakat, RDP dosyalarının kötüye kullanım geçmişi göz önüne alındığında, korumaların yerinde kalması şiddetle önerilmektedir. Ek bir diyalogun yarattığı rahatsızlık, sağladığı güvenlik faydasına kıyasla oldukça küçük kalır.
