محققان امنیتی اعلام کردند اولین تلاشهای آماتور برای بهرهبرداری از آسیبپذیری مشهور BlueKeep RDP را مشاهده کردهاند. گفته میشود این حملات برای آلوده کردن سیستمهای آسیبپذیر به بدافزارهای استخراج رمزارز انجام شده است. در ماه می سال جاری شرکت مایکروسافت وصلهای را برای برطرف کردن آسیبپذیری حیاتی اجرای کد از راه دور را که BlueKeep نامیده میشد منتشر کرد. این آسیبپذیری سرویس RDP ویندوز را تحت تاثیر قرار میداد و مهاجم از راه دور و تنها با ارسال یک درخواست جعلی RDP میتوانست از این آسیبپذیری بهرهبرداری کند.
به این آسیبپذیری شناسهی CVE-2019-0708 اختصاص یافته و یک آسیبپذیری wormable است چرا که میتواند خود را از طریق یک سیستم آسیبپذیر به سیستمهای متصل دیگر توزیع و پخش کند. هنوز بعد از انتشار بهروزرسانیها و وصلهها برای این آسیبپذیری، به نظر میرسد نزدیک به ۱ میلیون سیستم آسیبپذیر همچنان وجود دارد و برای همین بسیاری از موسسات امنیتی که کد بهرهبرداری برای این آسیبپذیری توسعه دادهاند، آنها را بهطور عمومی منتشر نمیکنند.
یک محقق امنیتی این بهرهبرداری و حمله را زمانی شناسایی کرد که چند سیستم هانیپات EternalPot RDP ناگهان دچار فروپاشی شده و ناگهان راهاندازی شده است. محققان این اتفاق را بررسی کرده و تایید کردند که بهرهبرداری آسیبپذیری BlueKeep در تلاش بوده تا Monero Miner را بر روی سیستمهای آسیبپذیر نصب کند. بهرهبرداری شامل دستورات شلکد و بار دادهی اولیه بوده که در نهایت تلاش دارد تا بار دادهی نهایی و بدافزار اصلی را از روی یک سرور راه دور دانلود کند.
محققان همچنین تایید کردند این بدافزار که از BlueKeep بهرهبرداری میکند دارای ویژگی خود-توزیعی نیست و نمیتواند از سیستم آلوده به سیستمهای متصل دیگر منتشر شود. به نظر میرسد در حال حاضر مهاجمان صرفا در حال اسکن و شناسایی سیستمهای آسیبپذیر و تنها آلوده کردن آنها به بدافزار بودهاند. بهعبارت دیگر مهاجمان فقط توانستهاند سیستمهایی که به اینترنت متصل هستند را آلوده کنند و قابلیت آلوده کردن سیستمهای داخلی را نداشتهاند. به کاربران و سازمانهایی که از سیستمهای ویندوزی استفاده میکنند، اکیدا توصیه میشود تا این آسیبپذیری را وصله کنند. در صورتیکه بهروزرسانی و وصلهی آسیبپذیری ممکن نیست، سرویس RDP را غیرفعال کنند و از طریق فایروال پورت شمارهی ۳۳۸۹ را ببندند.