Печально известная уязвимость BlueKeep, получившая идентификатор CVE-2019-0708,
в настоящее время используется в реальных атаках, цель которых — установить в систему жертвы вредоносный майнер криптовалюты.
Напомним, что данная проблема безопасности затрагивает службы удалённого рабочего стола (RDS).
Примечательно, что Microsoft устранила BlueKeep ещё в мае, попутно предупредив пользователей:
уязвимость можно использовать для распространения червей вроде WannaCry.
Успешная эксплуатация бреши позволяет злоумышленнику выполнить код, отправляя специально созданные RDP-запросы.
Дошло до того, что не только Microsoft, но и различные госучреждения предупредили пользователей об опасности.
Несмотря на выпуск патча и для довольно старых версий системы (например, Windows XP), аналитики полагают,
что более 700 тысяч компьютеров до сих пор уязвимы для атак. Исследователь Кевин Бомонт,
давший уязвимости BlueKeep имя, поддерживает ханипот-систему BluePot,
чтобы обнаружить попытки эксплуатации бреши в реальных атаках.
По словам Бомонта, последние атаки начались 23 октября — в этот день ханипоты эксперта начали
сбоить и перезагружаться. 2 ноября стало ясно, что киберпреступники запустили атаки,
в которых эксплуатируется BlueKeep. В частности, атакующие задействовали специальный модуль Metasploit,
выпущенный в начале сентября. Специалисты в итоге выяснили,
что целью злоумышленников была установка вредоносного майнера Monero в систему жертвы.
Образец этого зловреда в настоящее время детектируется 31 антивирусом на VirusTotal.
Источник: https://www.anti-malware.ru/news/2019-11-05-1447/31210