Разработчики Metasploit опубликовали эксплоит для уязвимости BlueKeep. Он позволяет осуществить выполнение кода и прост в использовании.
Напомню, что критическая уязвимость CVE-2019-0708 (она же BlueKeep), связанная с работой Remote Desktop Services (RDS) и RDP, была исправлена Microsoft еще в мае текущего года. С помощью этого бага атакующие могут выполнять произвольный код без авторизации и распространять свою малварь подобно червю, как, например, было с известными вредоносами WannaCry и NotPetya. Проблема опасна для Windows Server 2008, Windows 7, Windows 2003 и Windows XP, для которых из-за высокой серьезности проблемы были выпущены обновления безопасности.
Эксперты Microsoft предупреждали об опасности BlueKeep дважды, а вместе с ними на проблему обращали внимание АНБ, Министерство внутренней безопасности США, Австралийский центр кибербезопасности, Национальный центр кибербезопасности Великобритании и многие другие. Специалисты сразу нескольких ИБ-компаний (включая Zerodium, McAfee, Check Point и «Лабораторию Касперского»), а также независимые исследователи разработали собственные proof of concept эксплоиты для уязвимости. Код этих эксплоитов не был опубликован в открытом доступе из-за слишком высокого риска. Кроме того, для уязвимости еще летом был создан модуль MetaSploit (тоже не был представлен в открытом доступе по вышеупомянутым причинам), а также коммерческий RCE-эксплоит, написанный компанией Immunity Inc, но недоступный широкой публике.
Теперь специалисты компании Rapid7, разрабатывающей Metasploit, опубликовали эксплоит для BlueKeep в формате модуля Metasploit, доступного всем делающим. В отличие от других PoC-эксплоитов, давно доступных в сети, это решение действительно позволяет выполнить произвольный код и представляет собой «боевой» инструмент.
Впрочем, разработчики все же оставили в коде своеобразный предохранитель: в настоящее время эксплоит работает только в режиме ручного управления, то есть ему все же требуется взаимодействие с человеком. Оператору Metasploit придется вручную указать всю информацию о целевой системе, то есть автоматизировать атаки и использовать BlueKeep массово, как самораспространяющегося червя, не выйдет. Однако возможности таргетированных атак это, конечно, не отменяет. Также нужно заметить, что модуль BlueKeep Metasploit работает только с 64-разрядными версиями Windows 7 и Windows 2008 R2, но бесполезен против других уязвимых версий ОС.
Хотя у компаний и пользователей было достаточно времени на установку патчей, по данным BinaryEdge, в сети по-прежнему можно обнаружить около 700 000 уязвимых перед проблемой BlueKeep систем. Так что в скором времени мы определенно не раз услышим об эксплуатации уязвимости злоумышленниками.
