یک بهرهبرداری عمومی که آسیبپذیری BlueKeep مایکروسافت ویندوز را که بهتازگی رفع شده بود و به چارچوب Metasploit متعلق به Rapid7 اضافه شده است، هدف قرار میدهد. این آسیبپذیری که با شناسهی CVE-2019-0708 ردیابی میشود، توسط مایکروسافت و با بهروزرسانیهای وصلهی روز سهشنبهی ماه مِه سال ۲۰۱۹ میلادی رفع شده بود. در عرض چند هفته، پژوهشگران امنیتی اولین اسکنهای مربوط به این آسیبپذیری را مشاهده کردند و مدت زیادی طول نکشید که حملات، آن را هدف قرار دادند.
محصولات صنعتی و پزشکی نیز در معرض خطر قرار گرفتند. پژوهشگران امنیتی متوجه شدند که سرعت وصله شدن سیستمها توسط مدیران، پس از چند ماه بهطور چشمگیری کاهش یافته است و هنوز ۷۵۰ هزار سیستم در اواسط ماه آگوست آسیبپذیر بوده است.
این آسیبپذیری که معمولاً BlueKeep نامیده میشود، یک اشکال استفاده پس از آزادسازی هسته بهصورت از راه دور است که Remote Desktop Protocol ویندوز را تحت تأثیر قرار میدهد. این آسیبپذیری ممکن است توسط مهاجمان و بهمنظور اجرای کد دلخواه و به دست گرفتن کنترل یک دستگاه آسیبپذیر با ارسال درخواستهای دستکاریشده از طریق RDP مورد بهرهبرداری قرار گیرد.
درایور RDP termdd.sys عملیات بایند کردن به کانال داخلی MS_T120 را به درستی مدیریت نمیکند و به یک پیام Disconnect Provider Indication مخرب اجازه میدهد تا منجر به استفاده پس از آزادسازی شود. مؤلفهی Metasploit که بهتازگی اضافه شده و به صورت متن باز در دسترس است، از یک مؤلفهی خارجی پایتون به یک Ruby بومی منتقل شد تا از RDP و سایر کتابخانههای پیشرفته در این چارچوب استفاده کند.
درحالحاضر، این مؤلفه نسخههای ۶۴ بیتی ویندوز ۷ و ویندوز سرور ۲۰۰۸ R2 را هدف قرار میدهد. درحالحاضر، کاربر باید اطلاعات هدف بیشتری برای استفاده از این مؤلفه فراهم کند، در غیر این صورت میزبان هدف ممکن است خراب شود. Rapid7 بیان میکند که این مؤلفه یک گزینهی TARGET اثر انگشت پیشفرض پیادهسازی میکند که تنها یک میزبان آسیبپذیر را بررسی میکند و برخی اطلاعات اولیه دربارهی سیستم عامل هدف را نمایش میدهد، اما کاربر باید یک هدف دقیقتر مشخص کند. این شرکت بیان میکند که بااینکه اهداف خاصی برای Bare-metal، Virtualbox، VMware و Hyper-V وجود دارد، اما متغیرهای اضافی در محیطهای هدف ممکن است آدرس پایه را تغییر دهند.
درحالحاضر، این مؤلفه نسخههای ۶۴ بیتی ویندوز ۷ و ویندوز سرور ۲۰۰۸ R2 را هدف قرار میدهد. درحالحاضر، کاربر باید اطلاعات هدف بیشتری برای استفاده از این مؤلفه فراهم کند، در غیر این صورت میزبان هدف ممکن است خراب شود. Rapid7 بیان میکند که این مؤلفه یک گزینهی TARGET اثر انگشت پیشفرض پیادهسازی میکند که تنها یک میزبان آسیبپذیر را بررسی میکند و برخی اطلاعات اولیه دربارهی سیستم عامل هدف را نمایش میدهد، اما کاربر باید یک هدف دقیقتر مشخص کند. این شرکت بیان میکند که بااینکه اهداف خاصی برای Bare-metal، Virtualbox، VMware و Hyper-V وجود دارد، اما متغیرهای اضافی در محیطهای هدف ممکن است آدرس پایه را تغییر دهند.