Alerta de certificado huérfano para un sitio desconocido en la ejecución de una sesión RDP

Configuración: 11 estaciones de trabajo Windows7, Windows 2008 SBS SP2, Cisco Router

Ayer entré en RDP a mi larga sesión de administración en Windows SBS 2008 para encontrar esta alerta de seguridad en espera:

Alhacerclicen"Ver certificado" se revela esto:

Ylosdetallesreales:

Apesardequehayreferenciasmínimasenlínea,investigarelDNSdelsitiorevelaqueprobablementesealegítimo.

Miprincipalpreocupaciónesporquéreciboestaalertadesde:

1. Nadiehainiciadosesiónenelservidordesdelaúltimavezquelohice(16/01)(segúnTerminalServices-Gatewaylog-tambiénseacabadedescubrirqueTerminalServices-RemoteConnectionManagerestádeshabilitado)
2. Soyelúnicoqueusaesacuenta
3. IEnoseestabaejecutandoyelhistorialdenavegaciónfueexactamentecomolodejéhacemuchosdías
4. Nopuedopensarennadieenmiorganizaciónquepuedaaccederaesesitiowebespecífico

Yelmásobvio:¿nuestroservidorhasidocomprometido?

Máscontexto:

EstaeslasegundavezqueobtengouncuadrodediálogodealertadecertificadohuérfanocuandomeconectoamisesiónRDP(elservidorsehareiniciadodesdeentonces).Laprimeravezfueparaelsitioweb"sydneythomas.com" (una "joyería" en octubre de 2016, ahora con el dominio estacionado). Informé a la empresa responsable de nuestro soporte de TI, y su veredicto fue que "alguien usó sidneythomas.com para probar algo", lo cual es ridículo y está completamente fuera de contexto.

Actualizar:

Tras un examen más detenido, me di cuenta de que la fuente de la alerta es Java Updater Service (ProcessExplorerdiceC:\ProgramFiles(x86)\CommonFiles\Java\JavaUpdate\jusched.exe).Tambiénencontréeste superusuario pregunta ( sí, todavía vergonzosamente en Java 7 versión 21 ), pero no pudo encontrar los detalles específicos de dicho exploit. En este punto, además de parchear Java, estoy tratando de entender el vector de ataque. Un escaneo de jusched.exe con virustotal dice que está limpio y no puedo ver nada fuera de lo común con este archivo.