RDP Roulette: Microsoft si affretta a superare gli hacker che sfruttano i file Remote Desktop
Sottotitolo: Microsoft distribuisce nuove difese mentre i cybercriminali trasformano i comuni file Remote Desktop in armi di phishing ad alto rischio.
Tutto inizia con un clic: nella tua casella di posta arriva un file dall’aspetto innocuo, che promette accesso a un sistema remoto. Ma dietro la familiare estensione .rdp-di cui i reparti IT di tutto il mondo si fidano-si nasconde una minaccia in rapida evoluzione. In una corsa agli armamenti digitale, Microsoft sta cercando di chiudere la porta agli hacker che hanno trasformato i file del Remote Desktop Protocol (RDP) in silenziosi ladri di dati.
I pericoli nascosti dei file RDP
Un tempo spina dorsale del lavoro da remoto, i file RDP sono diventati un travestimento preferito per gli attacchi di phishing. Questi piccoli file di configurazione, spesso distribuiti dal personale IT per semplificare l’accesso a server remoti, possono essere predisposti per reindirizzare automaticamente risorse locali-come unità, appunti e smart card-direttamente verso una macchina remota. Nelle mani sbagliate, questo significa che i tuoi dati più sensibili potrebbero essere sottratti silenziosamente verso un server controllato da un aggressore.
Negli ultimi anni, gruppi di minaccia persistente avanzata (APT) come APT29-collegato all’intelligence russa-hanno sfruttato i file RDP con effetti devastanti. Email di phishing consegnano allegati .rdp trappola; basta un solo clic incauto e i file, le password e perfino i token di autenticazione della vittima diventano preda. L’attacco è furtivo e richiede poca competenza tecnica da parte del bersaglio.
La nuova linea di difesa di Microsoft
Con gli aggiornamenti di aprile 2026 per Windows 10 e 11, Microsoft sta alzando il ponte levatoio. Ora, quando un utente apre un file RDP per la prima volta, Windows mostra un prompt informativo che spiega i rischi. I tentativi successivi attivano una finestra di dialogo di sicurezza che indica se il file è firmato digitalmente, l’indirizzo del sistema remoto e quali risorse locali (se presenti) verranno condivise-ognuna disattivata per impostazione predefinita.
I file non firmati vengono segnalati con un avviso netto: "Attenzione: Connessione remota sconosciuta." Anche i file firmati, pur mostrando l’editore, invitano comunque gli utenti a verificarne la legittimità. Queste modifiche si applicano solo ai file RDP avviati direttamente, non a quelli aperti tramite il client Remote Desktop-il che significa che la vigilanza resta necessaria.
Gli amministratori possono intervenire sul registro di sistema per aggirare queste protezioni, ma il consiglio di Microsoft è chiaro: non fatelo. La storia degli abusi di RDP, dallo spionaggio sponsorizzato dagli Stati alla cybercriminalità quotidiana, rende queste nuove tutele più una necessità che un fastidio.
Guardando avanti
L’ultima mossa di Microsoft segnala un cambiamento nella battaglia in corso per la sicurezza degli endpoint. Man mano che gli aggressori si adattano, devono farlo anche le difese-e devono farlo anche gli utenti. I giorni in cui si cliccava distrattamente sui file RDP sono finiti. Nella nuova era della connettività remota, lo scetticismo è la prima linea di difesa.
TECHCROOK
YubiKey 5 NFC è una chiave di sicurezza hardware pensata per ridurre l’impatto del phishing e del furto di credenziali, scenari centrali negli abusi dei file RDP descritti nell’articolo. Supporta autenticazione forte a più fattori e passwordless tramite FIDO2/WebAuthn e U2F, oltre a OTP e smart card (PIV) per integrazioni enterprise. L’uso di una chiave fisica rende molto più difficile per un aggressore riutilizzare password sottratte o intercettare codici, anche quando l’utente viene indotto ad avviare una connessione remota malevola. Compatibile con Windows 10/11 e servizi cloud, si collega via USB-A e funziona anche via NFC su dispositivi supportati. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.
YubiKey 5 NFC è disponibile su diversi canali e si può acquistare anche su Amazon.
WIKICROOK
- File RDP: un file RDP memorizza le impostazioni per connettersi a computer remoti tramite Remote Desktop, semplificando e automatizzando le sessioni di accesso remoto.
- Phishing: il phishing è un crimine informatico in cui gli aggressori inviano messaggi falsi per indurre gli utenti a rivelare dati sensibili o a cliccare su link malevoli.
- Reindirizzamento delle risorse: il reindirizzamento delle risorse consente ai sistemi remoti di accedere a unità locali, dispositivi o appunti durante le sessioni remote, migliorando l’usabilità ma aumentando i rischi per la sicurezza.
- File firmato digitalmente: un file firmato digitalmente contiene una firma crittografica che verifica l’identità dell’editore e garantisce l’integrità del file, impedendo manomissioni o falsificazioni.
- APT (Advanced Persistent Threat): una minaccia persistente avanzata (APT) è un attacco informatico mirato e di lungo periodo condotto da gruppi esperti, spesso sostenuti da Stati, con l’obiettivo di rubare dati o interrompere le operazioni.




