Эксперты по информационной безопасности зафиксировали первую вредоносную кампанию, массово использующую эксплоит для уязвимости BlueKeep. Выявленная экспертами активность эксплуатирует уязвимость для распространения программы криптомайнера.

Критическая уязвимость BlueKeep (CVE-2019-0708), связанная с работой Remote Desktop Services (RDS) и RDP, была исправлена Microsoft еще в мае текущего года. Эксплуатируя эту уязвимость злоумышленник может выполнять произвольный код без авторизации и распространять свою малварь подобно червю, как, например, было с известными вирусами WannaCry и NotPetya. Уязвимость присутствует, как в Windows Server 2008, Windows 7, так и в устаревших операционных системах Windows 2003 и Windows XP, для которых, из-за высокой серьезности проблемы, были выпущены обновления безопасности, несмотря на окончание срока поддержки.

В сентябре текущего года разработчики Metasploit опубликовали в отрытом доступе демо-эксплоит для BlueKeep, и выявленный зловред использует именно это решение.

Вредоносная компания активна с 23 октября и первым ее заметил британский специалист Кевин Бомонт (Kevin Beaumont). Атаки зафиксировали honeypot-серверы, созданные им много месяцев назад, о которых даже сам эксперт уже успел забыть. Вскоре наблюдение Бомонта подтвердил и другой эксперт — Маркус Хатчинсон, который, в частности, известен благодаря тому, что остановил эпидемию WannaCry.

Бомонт отмечает, что на данный момент атаки далеко не всегда успешны: 10 из 11 расставленных ним honeypot не были инфицированы, а только завершили аварийно работу.

Для установки исправлений у компаний и пользователей было несколько месяцев, но BlueKeep по-прежнему представляет опасность, так как в сети до сих пор насчитывается порядка 750 000 уязвимых Windows-систем (не считая тех, что расположены внутри частных сетей).