KATEGORİLER
TAKİP ET!

Microsoft, Zararlı Remote Desktop Dosyalarına Karşı Yeni Güvenlik Güncellemesi Getirdi

Microsoft Remote Desktop
Microsoft Remote Desktop

Microsoft, Windows kullanıcılarını hedef alan yeni nesil phishing saldırılarına karşı önemli bir adım attı. Şirket, özellikle Remote Desktop bağlantı dosyaları (.rdp) üzerinden yapılan saldırıları engellemek için Windows’a yeni güvenlik önlemleri ekledi. Güncelleme ile birlikte hem kullanıcı uyarıları artırıldı hem de riskli bağlantı davranışları varsayılan olarak sınırlandı.

İçerik
  1. RDP Dosyaları Neden Riskli Hale Geldi?
  2. Yeni Windows Güncellemesi Neler Getiriyor?
  3. İlk Açılışta Bilgilendirme Ekranı
  4. Artık Her Bağlantı Öncesi Güvenlik Kontrolü Var
  5. İmzalanmamış Dosyalar İçin Açık Uyarı
  6. Önemli Sınırlama: Her Bağlantıyı Kapsamıyor
  7. Sistem Yöneticileri Bu Özelliği Kapatabilir mi?
  8. Genel Değerlendirme

Bu değişiklikler, özellikle kurumsal ortamlarda sık kullanılan RDP dosyalarının kötüye kullanımını hedef alıyor.

RDP Dosyaları Neden Riskli Hale Geldi?

RDP dosyaları, bir bilgisayardan başka bir sisteme uzaktan bağlanmayı kolaylaştırır. Sistem yöneticileri bu dosyaları önceden yapılandırarak kullanıcıların hızlı şekilde bağlantı kurmasını sağlar. Örneğin, yerel disklerin, clipboard’un veya cihazların uzak sisteme otomatik aktarılması bu dosyalarla mümkün olur.

Ancak tam da bu özellikler, saldırganların işine yarıyor.

Son dönemde özellikle phishing kampanyalarında saldırganlar, sahte veya manipüle edilmiş .rdp dosyaları göndererek kullanıcıları tuzağa düşürüyor. Geçmişte Rusya bağlantılı APT29 grubu da bu yöntemi kullanarak kullanıcıların verilerine erişmeyi başarmıştı.

Bir kullanıcı bu tür bir dosyayı açtığında şunlar gerçekleşebiliyor:

  • Bilgisayar, fark edilmeden saldırganın kontrolündeki bir sunucuya bağlanıyor
  • Yerel diskler karşı tarafa açılıyor, yani dosyalar erişilebilir hale geliyor
  • Kayıtlı kimlik bilgileri ele geçirilebiliyor
  • Clipboard verileri, yani kopyalanan şifreler veya hassas metinler çalınabiliyor
  • Windows Hello veya akıllı kart gibi kimlik doğrulama yöntemleri kötüye kullanılabiliyor

Kısacası tek bir dosya, ciddi bir veri sızıntısına yol açabiliyor.

Yeni Windows Güncellemesi Neler Getiriyor?

Microsoft, bu riskleri azaltmak için Nisan 2026 güncellemeleri kapsamında yeni korumaları devreye aldı. Bu yenilikler:

  • Windows 10 (KB5082200)
  • Windows 11 (KB5083769 ve KB5082052)

güncellemeleri ile kullanıcılara ulaşıyor.

En önemli değişikliklerden biri, RDP dosyaları açıldığında artık sistemin daha şeffaf ve uyarıcı davranması.

İlk Açılışta Bilgilendirme Ekranı

Güncellemeyi yükledikten sonra bir kullanıcı ilk kez bir RDP dosyası açtığında, Windows bir bilgilendirme ekranı gösteriyor.

Bu ekran:

  • RDP dosyasının ne olduğunu açıklıyor
  • Olası güvenlik risklerini açık şekilde anlatıyor
  • Kullanıcıdan bu riskleri anladığını onaylamasını istiyor

Kullanıcı “OK” dedikten sonra bu bilgilendirme tekrar gösterilmiyor. Ama bu sadece başlangıç.

Artık Her Bağlantı Öncesi Güvenlik Kontrolü Var

Yeni sistemde, bir RDP dosyası her açıldığında bağlantı kurulmadan önce bir güvenlik penceresi çıkıyor.

Bu pencere oldukça kritik bilgiler içeriyor:

  • Dosyanın doğrulanmış bir yayıncı tarafından imzalanıp imzalanmadığı
  • Bağlanılacak uzak sistemin adresi
  • Hangi yerel kaynakların paylaşılacağı (diskler, clipboard, cihazlar)

En önemli değişiklik şu:

Tüm yerel kaynak paylaşımları varsayılan olarak kapalı geliyor

Yani kullanıcı açıkça izin vermediği sürece hiçbir veri karşı tarafa aktarılmıyor.

Bu, önceki sistemdeki otomatik paylaşım davranışına kıyasla ciddi bir güvenlik iyileştirmesi.

İmzalanmamış Dosyalar İçin Açık Uyarı

Eğer bir RDP dosyası dijital olarak imzalanmamışsa, Windows kullanıcıyı açık şekilde uyarıyor:

  • Caution: Unknown remote connection” mesajı gösteriliyor
  • Yayıncı bilgisi “unknown” olarak işaretleniyor

Bu da kullanıcıya şu mesajı veriyor: Bu dosyanın kim tarafından oluşturulduğu doğrulanamıyor.

Eğer dosya imzalıysa:

  • Yayıncı bilgisi gösteriliyor
  • Ancak Windows yine de bağlantıdan önce dikkatli olunması gerektiğini vurguluyor

Yani imza olsa bile körü körüne güvenmek önerilmiyor.

Önemli Sınırlama: Her Bağlantıyı Kapsamıyor

Microsoft’un getirdiği bu koruma önemli ama kapsamı sınırlı.

Bu yeni güvenlik önlemleri sadece .rdp dosyaları üzerinden başlatılan bağlantılar için geçerli

Yani:

  • Eğer kullanıcı doğrudan Windows Remote Desktop uygulaması üzerinden manuel bağlantı kurarsa
  • Bu yeni uyarılar devreye girmiyor

Bu da saldırı yüzeyinin tamamen kapanmadığını gösteriyor.

Sistem Yöneticileri Bu Özelliği Kapatabilir mi?

Evet, ancak önerilmiyor.

Microsoft, sistem yöneticilerinin bu korumayı geçici olarak devre dışı bırakabileceğini belirtiyor. Bunun için:

  • Registry ayarlarında değişiklik yapılması gerekiyor
  • HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client
    yolundaki ayarlar kullanılıyor
  • RedirectionWarningDialogVersion değeri 1 yapılırsa uyarılar devre dışı kalabiliyor

Ancak Microsoft açık bir şekilde şunu söylüyor:

Bu korumaları kapalı tutmak ciddi risk oluşturur

Çünkü RDP dosyaları geçmişte defalarca saldırılarda kullanıldı.

Genel Değerlendirme

Microsoft’un bu hamlesi, kullanıcı farkındalığını artırmaya odaklanıyor. Sistem artık sadece arka planda koruma sağlamakla kalmıyor, kullanıcıyı da sürecin içine dahil ediyor.

Öne çıkan değişiklikler:

  • Varsayılan güvenli ayarlar (zero trust yaklaşımı)
  • Bağlantı öncesi detaylı şeffaflık
  • Kullanıcıyı bilinçlendiren uyarılar

Ancak yine de dikkat edilmesi gereken nokta şu:

En büyük risk hâlâ kullanıcı davranışı

Bir kullanıcı bilinmeyen bir kaynaktan gelen RDP dosyasını açarsa, en gelişmiş sistem bile sınırlı koruma sağlar.

Bu nedenle:

  • Bilinmeyen e-postalardaki dosyaları açmamak
  • Özellikle .rdp uzantılı dosyalara karşı ekstra dikkatli olmak
  • Bağlantı detaylarını kontrol etmek

hala en kritik savunma yöntemleri arasında yer alıyor.

 

Etiketler

Bakmadan Geçmeyin

Technostory, teknoloji dünyasındaki güncel gelişmeleri, ürün lansmanlarını ve dijital trendleri sade, güvenilir ve anlaşılır bir dille sunan bağımsız bir teknoloji yayın platformudur.