Microsoft telah memperkenalkan lapisan pelindungan baru pada sistem operasi Windows untuk menangkal serangan phishing yang menyalahgunakan berkas koneksi Remote Desktop (.rdp). Pembaruan ini menambahkan peringatan keamanan interaktif dan menonaktifkan fitur berbagi sumber daya berisiko secara bawaan (default).
Berkas RDP sangat umum digunakan di lingkungan perusahaan untuk terhubung ke sistem jarak jauh. Administrator dapat mengonfigurasinya sejak awal untuk secara otomatis mengalihkan sumber daya lokal ke host jarak jauh. Sayangnya, fungsionalitas praktis ini semakin sering disalahgunakan oleh aktor ancaman. Kelompok peretas APT29 yang disponsori negara Rusia, misalnya, sebelumnya pernah menggunakan berkas RDP jahat untuk mencuri data dan kredensial korban dari jarak jauh.
Ketika berkas RDP berbahaya ini dibuka, sistem korban dapat terhubung ke server yang dikendalikan peretas dan langsung mengalihkan drive lokal ke perangkat peretas tersebut. Hal ini memungkinkan penyerang untuk mencuri berkas, menyedot kredensial yang tersimpan di cakram (disk), menangkap data papan klip (clipboard) seperti kata sandi, hingga membajak mekanisme autentikasi seperti kartu pintar (smart cards) atau Windows Hello.
Mekanisme Pelindungan Baru yang Diterapkan
Sebagai bagian dari pembaruan kumulatif bulan April 2026 untuk Windows 10 (KB5082200) dan Windows 11 (KB5083769 serta KB5082052), Microsoft merilis pembaruan untuk menghentikan penyalahgunaan ini.
“Aktor jahat menyalahgunakan kemampuan ini dengan mengirimkan berkas RDP melalui email phishing,” peringat Microsoft. “Ketika korban membuka berkas tersebut, perangkat mereka diam-diam terhubung ke server yang dikendalikan oleh penyerang dan membagikan sumber daya lokal, memberi penyerang akses ke berkas, kredensial, dan banyak lagi.”
Mekanisme pelindungan ini akan beroperasi dengan cara berikut:
- Prompt Edukasi Satu Kali: Setelah menginstal pembaruan, saat pengguna membuka berkas RDP untuk pertama kalinya, sistem akan menampilkan jendela prompt edukasi. Jendela ini menjelaskan apa itu berkas RDP dan memperingatkan tentang risikonya. Pengguna harus mengonfirmasi bahwa mereka memahami risiko tersebut dengan menekan “OK”, dan peringatan awal ini tidak akan ditampilkan lagi.
- Dialog Keamanan Setiap Koneksi: Upaya berikutnya untuk membuka berkas RDP akan selalu memicu dialog keamanan sebelum koneksi apa pun dibuat.
- Penonaktifan Berbagi Otomatis: Dialog keamanan tersebut akan memperlihatkan alamat sistem jarak jauh dan mencantumkan semua pengalihan sumber daya lokal (seperti drive, papan klip, atau perangkat USB). Seluruh opsi berbagi ini kini dinonaktifkan secara bawaan, sehingga pengguna harus mencentangnya secara manual jika benar-benar membutuhkannya.
- Pemeriksaan Tanda Tangan Digital: Sistem akan memeriksa apakah berkas RDP ditandatangani oleh penerbit (publisher) terverifikasi. Jika tidak, Windows akan menampilkan peringatan “Perhatian: Koneksi jarak jauh tidak diketahui” (Caution: Unknown remote connection). Jika berkas tersebut ditandatangani, sistem tetap akan meminta pengguna untuk memverifikasi legitimasinya sebelum terhubung.
Pengecualian dan Konfigurasi Administrator
Perlu dicatat bahwa lapisan pelindungan ketat ini hanya berlaku untuk koneksi yang dimulai dengan membuka (mengklik ganda) berkas .rdp, dan tidak berlaku untuk koneksi manual yang dibuat melalui klien antarmuka Windows Remote Desktop.
Bagi lingkungan perusahaan dengan kebutuhan khusus, Microsoft menyatakan bahwa Administrator TI dapat menonaktifkan pelindungan ini untuk sementara waktu dengan memodifikasi kunci Registry pada HKLM\Software\Policies\Microsoft\Windows NT\Terminal Services\Client dan mengubah nilai RedirectionWarningDialogVersion menjadi 1. Namun, mengingat sejarah panjang penyalahgunaan berkas RDP dalam serangan siber, Microsoft sangat menyarankan agar pelindungan ini tetap dibiarkan aktif.