Новая версия вредоносного ПО Watchbog способна искать уязвимые к BlueKeep системы Windows, говорится (https://www.intezer.com/blog-watching-the-watchbog-new-bluekeep-scanner-and-linux-exploits/) в отчете Intezer Labs. Раньше вредонос использовался (http://www.securitylab.ru/news/500030.php) для заражения серверов на базе Linux с помощью эксплоитов для уязвимостей в Jira, Exim, Nexus Repository Manager 3, ThinkPHP и Solr Linux.

BlueKeep затрагивает (http://www.securitylab.ru/news/499099.php) службы удаленного рабочего стола (Remote Desktop Services), ранее известные как службы терминалов (Terminal Services). Данная уязвимость не требует авторизации или какого-либо взаимодействия с пользователем. Другими словами, она «червеподобна», то есть позволяет вредоносному ПО распространяться от компьютера к компьютеру подобно тому, как вредоносная программа WannaCry распространилась по всему миру в 2017 году.

Включенный в WatchBog сканер BlueKeep представляет собой написанную на Python модифицированную версию сканера, разработанного для поиска уязвимости (https://github.com/zerosum0x0/CVE-2019-0708) удаленного выполнения кода (CVE-2019-0708) в RDP. После запуска на зараженном устройстве сканер начинает проверку всех IP-адресов из списка, полученного с C&C-сервера. По завершении сканирования Watchbog отправляет список уязвимых хостов на C&C-сервер. Как полагают исследователи, злоумышленники собирают информацию об уязвимых системах для использования в дальнейших атаках или продажи сторонним лицам.

Помимо эксплоитов для уязвимостей в Jira, Exim, Nexus Repository Manager 3, Solr Linux и Jenkins, специалисты обнаружили два модуля для брутфорса установок CouchDB и Redis и удаленного выполнения кода.

Ранее на GitHub был опубликован (http://www.securitylab.ru/news/500048.php) подробный технический анализ BlueKeep, а также незавершенный PoC-код для атак на системы под управлением Windows XP.

Подробнее: https://www.securitylab.ru/news/500163.php (https://www.securitylab.ru/news/500163.php?ref=123)