ИБ-компания Immunity включила эксплойт для уязвимости BlueKeep в состав своего пентест-набора CANVAS. Программный продукт продается без ограничений, стоит несколько тысяч долларов и его могут купить злоумышленники для использования в кибератаках. ИБ-специалисты отмечают, что криминальные группировки активно сканируют Интернет в поисках компьютеров с незакрытыми багами в RDP-протоколе Windows.
С момента обнародования информации о наличии уязвимости CVE-2019-0708 уже несколько исследователей заявили о создании PoC для нее. Из соображений безопасности большинство предпочло не публиковать свои разработки. Все эксплойты для BlueKeep, выложенные на GitHub до сих пор, вызвали лишь отказ в обслуживании и прекращение работы ОС. Однако на прошлой неделе в Сети появилась презентация китайского исследователя Ян Цзевэя (Yang Jiewei), в которой подробно описана эксплуатация уязвимости.
Опубликованное Immunity видео показывает, что программа, входящая в версию 7.23 тулкита CANVAS, способна создать удаленное подключение к уязвимому устройству, открыть на нем оболочку и выполнить сторонний код. Таким образом, покупатель получает в свое распоряжение полноценный инструмент для взлома Windows-машин.
Руководитель компании Cyxtera, которая приобрела Immunity в июне прошлого года, заявил в свое оправдание, что любой грамотный специалист способен написать эксплойт для BlueKeep, используя информацию из Сети.
«CANVAS содержит более 800 эксплойтов. Для всех из них, в том числе BlueKeep, производители уже выпустили патч. Мы первыми включили модуль для CVE‑2019‑0708 в свою разработку, чтобы наши клиенты смогли проверить, действительно ли их системы с поддержкой RDP защищены от этой уязвимости», — заявил директор по безопасности Cyxtera Крис Дэй (Chris Day).
Практически одновременно с выходом CANVAS 7.23 ботнет Watchbog начал сканировать Сеть в поисках компьютеров с открытым TCP-портом 3389, который используется для удаленного подключения по RDP. Создатели вредоносной сети, ранее ориентированной исключительно на Linux-серверы, утверждают, что пытаются таким образом предупредить владельцев уязвимых систем. Эксперты отмечают, что ранее подобные благородные намерения не мешали ботоводам размещать на взломанных устройствах криптомайнеры.
Разработчики Watchbog отказались сообщить, обладают ли они эксплойтом для BlueKeep и для каких целей проводится поиск уязвимых машин.
Источник: https://threatpost.ru/bluekeep-exploit-already-on-sail/33612/