Microsoft, Windows 10 ve Windows 11 için yayımladığı Nisan 2026 toplu güncellemelerinde uzaktan masaüstü bağlantılarıyla ilişkili önemli bir güvenlik açığını hedef alan yeni önlemleri devreye aldı. Güncelleme, özellikle kurumsal ortamlarda yaygın şekilde kullanılan RDP (Remote Desktop Protocol) dosyalarının kötüye kullanılmasını zorlaştırmayı amaçlıyor. İlk aşamada kullanıcıya bilgi veren, ardından her bağlantı öncesinde detaylı kontrol sunan bu yeni yapı, saldırganların sistemlere gizlice erişim sağlamasını engellemeye odaklanıyor.
Kurumsal BT altyapılarında sıkça kullanılan RDP dosyaları, yöneticilerin uzaktaki sistemlere hızlı ve önceden yapılandırılmış şekilde bağlanmasını sağlıyor. Buna rağmen aynı yapı, kötü niyetli kişiler tarafından da istismar edilebiliyor. Kullanıcının farkında olmadan açtığı bir RDP dosyası, cihazın saldırgan kontrolündeki bir sunucuya bağlanmasına yol açabiliyor. Bu tür bir senaryoda yerel diskler, pano verileri ve kimlik doğrulama bilgileri gibi hassas içerikler karşı tarafa aktarılabiliyor.
Bu risk yalnızca teoride kalmış bir ihtimal değil. Rusya bağlantılı olduğu belirtilen APT29 adlı siber saldırı grubu, geçmişte düzenlediği kimlik avı kampanyalarında zararlı RDP dosyalarını kullanarak kullanıcı verilerini ele geçirdi. Bu yöntemin etkili olmasının temel nedeni ise saldırının sıradan bir dosya açma işlemi gibi görünmesi ve kullanıcıda şüphe uyandırmaması.
Windows, imzasız bir RDP dosyası açıldığında “Bilinmeyen uzak bağlantı” uyarısı göstererek yayıncının doğrulanamadığını belirtiyor. Öte yandan dosya dijital olarak imzalanmış olsa bile sistem, kullanıcıdan bağlantı öncesinde yayıncıyı kontrol etmesini talep etmeye devam ediyor. Microsoft, dijital imzayı tek başına güven göstergesi olarak kabul etmeyerek daha temkinli bir yaklaşım benimsiyor.
Windows RDP dosyaları için çok katmanlı güvenlik yaklaşımı
Yeni güncelleme ile birlikte güvenlik mekanizmaları birkaç aşamada çalışıyor. Güncelleme sonrasında bir RDP dosyası ilk kez açıldığında, Windows kullanıcıya bu dosyaların nasıl çalıştığını ve hangi riskleri barındırdığını anlatan bilgilendirici bir ekran sunuyor. Bu ekran yalnızca bir kez gösteriliyor ve kullanıcı onayının ardından normal kullanım sürecine geçiliyor.
Devamında ise her RDP dosyası açılmak istendiğinde ayrıntılı bir güvenlik penceresi devreye giriyor. Bu pencerede dosyanın güvenilir bir yayıncı tarafından imzalanıp imzalanmadığı, bağlanılacak uzak sistemin adresi ve erişim talep edilen yerel kaynaklar açık şekilde listeleniyor. Yerel diskler, pano erişimi ve bağlı cihazlar gibi unsurlar varsayılan olarak kapalı tutuluyor. Kullanıcının bu kaynakları paylaşabilmesi için açık şekilde izin vermesi gerekiyor.
Bununla birlikte söz konusu korumalar yalnızca doğrudan RDP dosyası açıldığında geçerli oluyor. Windows’un kendi Uzaktan Masaüstü istemcisi üzerinden kurulan bağlantılarda mevcut deneyim korunuyor ve ek uyarılar devreye girmiyor. Sistem yöneticileri isterlerse kayıt defteri üzerinden bu uyarıları geçici olarak devre dışı bırakabiliyor. Ne var ki geçmişte yaşanan saldırı örnekleri göz önüne alındığında bu korumaların aktif tutulması daha güvenli bir kullanım sağlıyor.
