​⚙️ 💵 В СВОБОДНОЙ ПРОДАЖЕ ПОЯВИЛСЯ ЭКСПЛОЙТ BLUEKEEP

• 🏢 ИБ-компания Immunity включила эксплойт для уязвимости BlueKeep в состав своего пентест-набора CANVAS.
📌 Программный продукт продается без ограничений, стоит несколько тысяч долларов и его могут купить злоумышленники для использования в кибератаках.
⚠️ ИБ-специалисты отмечают, что криминальные группировки активно сканируют Интернет в поисках компьютеров с незакрытыми багами в RDP-протоколе Windows.

• 🔎 С момента обнародования информации о наличии уязвимости CVE-2019-0708 уже несколько исследователей заявили о создании PoC для нее. Из соображений безопасности большинство предпочло не публиковать свои разработки. Все эксплойты для BlueKeep, выложенные на GitHub до сих пор, вызвали лишь отказ в обслуживании и прекращение работы ОС. Однако на прошлой неделе в Сети появилась презентация китайского исследователя Ян Цзевэя (Yang Jiewei), в которой подробно описана эксплуатация уязвимости.

• ⚙️🕹 Готовое решение для эксплуатации BlueKeep
Опубликованное Immunity видео показывает, что программа, входящая в версию 7.23 тулкита CANVAS, способна создать удаленное подключение к уязвимому устройству, открыть на нем оболочку и выполнить сторонний код. Таким образом, покупатель получает в свое распоряжение полноценный инструмент для взлома Windows-машин.

• 👤❗️Руководитель компании Cyxtera, которая приобрела Immunity в июне прошлого года, заявил в свое оправдание, что любой грамотный специалист способен написать эксплойт для BlueKeep, используя информацию из Сети.

• 🔎 ⚙️ «CANVAS содержит более 800 эксплойтов. Для всех из них, в том числе BlueKeep, производители уже выпустили патч. Мы первыми включили модуль для CVE‑2019‑0708 в свою разработку, чтобы наши клиенты смогли проверить, действительно ли их системы с поддержкой RDP защищены от этой уязвимости», — заявил директор по безопасности Cyxtera Крис Дэй (Chris Day).

• 👥🕹Злоумышленники готовятся к атакам через RDP
Практически одновременно с выходом CANVAS 7.23 ботнет Watchbog начал сканировать Сеть в поисках компьютеров с открытым TCP-портом 3389, который используется для удаленного подключения по RDP. Создатели вредоносной сети, ранее ориентированной исключительно на Linux-серверы, утверждают, что пытаются таким образом предупредить владельцев уязвимых систем. Эксперты отмечают, что ранее подобные благородные намерения не мешали ботоводам размещать на взломанных устройствах криптомайнеры.

• 📌 ❗️Разработчики Watchbog отказались сообщить, обладают ли они эксплойтом для BlueKeep и для каких целей проводится поиск уязвимых машин.


@SingleSecurity 🛡