Американская компания Immunity Inc. включила в состав своего коммерческого продукта для пентестов эксплоит для уязвимости BlueKeep.
Напомню, что критическая уязвимость CVE-2019-0708 (она же BlueKeep), связанная с работой Remote Desktop Services (RDS) и RDP, была исправлена Microsoft еще в мае текущего года.
С помощью этого бага атакующие могут выполнять произвольный код без авторизации и распространять свою малварь подобно червю, как, например, было с известными вредоносами WannaCry и NotPetya.
Проблема опасна для Windows Server 2008, Windows 7, Windows 2003 и Windows XP, для которых из-за высокой серьезности проблемы были выпущены обновления безопасности. И, тем не менее, по последним данным, перед BlueKeep по-прежнему уязвимы около 800 000 машин.
Эксперты Microsoft предупреждали об опасности BlueKeep уже дважды, а специалисты сразу нескольких ИБ-компаний (включая Zerodium, McAfee, Check Point и «Лабораторию Касперского»), а также независимые исследователи создали proof of concept эксплоиты для уязвимости. Код этих эксплоитов не был опубликован в открытом доступе из-за слишком высокого риска. Кроме того, для уязвимости уже существует модуль MetaSploit (тоже не представлен в открытом доступе по тем же причинам).
Ранее на этой неделе стало известно, что на GitHub опубликовали презентацию, которая детально описывает использование уязвимости и создание эксплоита для нее. В сущности, презентация представляет собой наиболее детальный технический разбор уязвимости, доступный в открытом доступе на данный момент. Эксперты опасаются, что это «руководство» существенно облегчит создание RCE-эксплоитов для BlueKeep. Дело в том, что на слайдах, например, подробно показано, как реализовать heap spraying, то есть презентация описывает решение одной из наиболее трудных задач при создании эксплоита.
Хотя пока у преступников нет полностью работающего эксплоита для BlueKeep, это не мешает им готовить почву. Еще в мае скрытый за узлами Tor ботнет начал активно сканировать сеть в поисках систем Windows, уязвимых для BlueKeep, и с тех пор все больше злоумышленников поступают так же. Последним стал ботнет Watchbog, начавший демонстрировать такое поведение на этой неделе.
Но, похоже, теперь у специалистов появился новый повод для тревог. На этой неделе американская компания Immunity Inc. объявила, что обновленная версия ее инструмента для пентестинга, CANVAS 7.23, включает у себя работающий RCE-эксплоит для BlueKeep. Фактически, это первый полноценный RCE эксплоит для BlueKeep, доступный хотя бы ограниченной аудитории. Дело в том, что эксплоиты, опубликованные в открытом доступе ранее, приводили лишь к возникновению сбоев удаленных систем, но к не исполнению произвольного кода.
New Release - CANVAS 7.23: This release features a new module for the RDP exploit, BLUEKEEP. Check out our video demonstration here: https://t.co/azCuJp1osI #bluekeep #cve20190708 #exploit
— Immunity Inc. (@Immunityinc) July 23, 2019
Хотя стоимость лицензий CANVAS составляет от нескольких тысяч до нескольких десятков тысяч долларов США, хакеры нередко занимаются пиратством или законно приобретают средства тестирования на проникновение, а потом злоупотребляют их функциональностью (например, можно вспомнить о Cobalt Strike).
Интересно, что глава Immunity Inc. Дэйв Атель (Dave Aitel) сообщил, что эксплоит не имеет никакого отношения к недавно опубликованной на GitHub презентации и является собственной разработкой компании.
