Печально известная уязвимость BlueKeep, получившая идентификатор CVE-2019-0708, в настоящее время используется в реальных атаках, цель которых — установить в систему жертвы вредоносный майнер криптовалюты. Напомним, что данная проблема безопасности затрагивает службы удалённого рабочего стола (RDS).
Примечательно, что Microsoft устранила BlueKeep ещё в мае, попутно предупредив пользователей: уязвимость можно использовать для распространения червей вроде WannaCry.
Успешная эксплуатация бреши позволяет злоумышленнику выполнить код, отправляя специально созданные RDP-запросы. Дошло до того, что не только Microsoft, но и различные госучреждения предупредили пользователей об опасности.
Несмотря на выпуск патча и для довольно старых версий системы (например, Windows XP), аналитики полагают, что более 700 тысяч компьютеров до сих пор уязвимы для атак.
Исследователь Кевин Бомонт, давший уязвимости BlueKeep имя, поддерживает ханипот-систему BluePot, чтобы обнаружить попытки эксплуатации бреши в реальных атаках.
По словам Бомонта, последние атаки начались 23 октября — в этот день ханипоты эксперта начали сбоить и перезагружаться. 2 ноября стало ясно, что киберпреступники запустили атаки, в которых эксплуатируется BlueKeep.
В частности, атакующие задействовали специальный модуль Metasploit, выпущенный в начале сентября. Специалисты в итоге выяснили, что целью злоумышленников была установка вредоносного майнера Monero в систему жертвы.
Образец этого зловреда в настоящее время детектируется 31 антивирусом на VirusTotal.
