Эксплоит для RD Web Access продают в даркнете за 200 000 долларов

Специалисты BI.ZONE Threat Intelligence обнаружили на одном из теневых форумов объявление о продаже эксплоита к 0‑day‑уязвимости в RD Web Access. Это компонент Microsoft Remote Desktop Services (RDS), связанный с публикацией удаленных рабочих столов и приложений через веб‑интерфейс. Его активно используют для организации удаленного доступа к рабочим столам.

Эксплоит предполагает получение удаленного доступа через уязвимый веб‑сервис. Изначальная цена, указанная продавцом, составляет 200 000 долларов.

По нашим оценкам, в России в зоне потенциального риска могут находиться порядка 400 организаций, опубликовавших RD Web Access на периметре.

Решение BI.ZONE CPT позволяет автоматически обнаруживать опубликованные инстансы RD Web Access на внешнем периметре, а интеграция с BI.ZONE Threat Intelligence — своевременно фиксировать признаки интереса со стороны злоумышленников, включая обсуждение эксплуатации и предложения о продаже эксплоитов на теневых ресурсах. Если же компания самостоятельно обнаружила, что используемый сервис был долгое время уязвим и общедоступен, рекомендуется оценить инфраструктуру на предмет компрометации, например, с помощью BI.ZONE Compromise Assessment.

Ранее аналитики BI.ZONE Threat Intelligence сообщали о серии атак на российские компании со стороны шпионского кластера Paper Werewolf. Для этих атак злоумышленники, предположительно, приобрели на теневых ресурсах эксплоит к уязвимости в WinRAR за 80 000 долларов.