برای آسیبپذیری Remote Desktop Services (RDS) ویندوز که بهتازگی وصله شده و با شناسهی CVE-2019-0708 ردیابی و BlueKeep نامیده میشود، چند بهرهبرداری اثبات مفهومی توسعه داده شده است که یکی از آنها برای اجرای کد از راه دور استفاده میشود.
بهروزرسانیهای وصلهی روز سهشنبهی مایکروسافت در ماه مِی سال ۲۰۱۹ میلادی یک آسیبپذیری را رفع کرد که ممکن بود توسط بدافزار بهمنظور انتشار خود مورد بهرهبرداری قرار گیرد، مشابه همان کاری که باجافزار WannaCry در سال ۲۰۱۷ میلادی از طریق بهرهبرداری EternalBlue انجام داد.
این آسیبپذیری که مایکروسافت آن را Wormable توصیف کرده است، به یک مهاجم احراز هویتنشده اجازه میدهد تا بدون تعامل کاربر و با ارسال درخواستهای خاص به RDS دستگاه هدف از طریق Remote Desktop Protocol (RDP) کنترل یک دستگاه را به دست گیرد.
مایکروسافت برای ویندوزهای ۷، سرور ۲۰۰۸، ایکسپی و سرور ۲۰۰۳ که دیگر پشتیبانی نمیشوند، وصلههایی منتشر کرده است. ویندوز ۸ و ۱۰ تحت تأثیر قرار نگرفتهاند و کاربران ویندوز ۷ و سرور ۲۰۰۸ میتوانند با فعال کردن احراز هویت سطح شبکه (NLA) مانع از بهرهبرداری مهاجمان احراز هویتنشده از این آسیبپذیری شوند. با بستن پورت TCP 3389 در دیوار آتش میتوان با این تهدید مقابله کرد.
کارشناسان هشدار دادهاند که این آسیبپذیری سازمانهای سراسر جهان و محیطهای صنعتی را در معرض خطر جدی قرار میدهد، زیرا بیشتر آنها از RDS برای دسترسی از راه دور به سیستمهای کنترلی استفاده میکنند. خطر بهرهبرداری از آن برای اهداف مخرب همچنان درحال افزایش است و پژوهشگران شرکتهای امنیت سایبری مختلف بهرهبرداریهای اثبات مفهومی درحال توسعه را گزارش کردهاند.
خوشبختانه تاکنون هیچ بهرهبرداری کاملی بهصورت عمومی منتشر نشده است. مؤسسهی SANS دو بهرهبرداری جزئی را گزارش کرده است که در دسترس عموم است و هر دوی آنها بدون هیچ آسیب واقعی منجر به این آسیبپذیری میشوند. بااینکه برخی از پژوهشگران بهرهبرداریهایی ایجاد کردهاند که منجر به ایجاد شرایط منع سرویس میشود، سایر پژوهشگران بهرهبرداریهای اجرای کد از راه دور را توسعه دادهاند.
بنیانگذار و مدیرعامل شرکت Zerodium تأیید کرده است که این آسیبپذیری ممکن است بهصورت از راه دور و بدون احراز هویت بهمنظور دسترسی به یک دستگاه با امتیازات SYSTEM مورد بهرهبرداری قرار گیرد.
مکآفی نیز یک بهرهبرداری اثبات مفهومی توسعه داده است که امکان اجرای کد از راه دور را فراهم میکند. این شرکت یک ویدئو منتشر کرده که این بهرهبرداری را بهطور عملی نشان میدهد، اما آن را بهصورت عمومی منتشر نکرده است. برخی از شرکتهای امنیت سایبری بهروزرسانیهایی را منتشر کردهاند که هر گونه تلاش برای بهرهبرداری از آسیبپذیری BlueKeep را شناسایی و با آن مقابله میکند.