Эксплоит для RD Web Access продают в даркнете за $200 000

Специалисты BI.ZONE Threat Intelligence обнаружили на одном из теневых форумов объявление о продаже эксплоита к 0-day-уязвимости в RD Web Access. Это компонент Microsoft Remote Desktop Services, связанный с публикацией удаленных рабочих столов и приложений через веб-интерфейс. Его активно используют для организации удаленного доступа к рабочим столам.

Эксплоит предполагает получение удаленного доступа через уязвимый веб-сервис. Изначальная цена, указанная продавцом, составляет 200 000 долларов. По оценке BI.ZONE, в России в зоне потенциального риска могут находиться порядка 400 организаций, опубликовавших RD Web Access на периметре.

Павел Загуменнов, руководитель направления EASM, BI.ZONE: «Согласно исследованию Threat Zone 2026, 18% кибератак на российские компании начинаются именно с компрометации служб удаленного доступа. Сервисы семейства RDS традиционно рассматриваются злоумышленниками как потенциально привлекательная точка первичного доступа в корпоративную инфраструктуру.

В случае успешной эксплуатации уязвимости атакующий может получить возможности для дальнейшего развития атаки. Они включают закрепление в инфраструктуре, перемещение по сети, развертывание вредоносного ПО и компрометацию учетных записей терминального сервера».

Ранее аналитики BI.ZONE Threat Intelligence сообщали о серии атак на российские компании со стороны шпионского кластера Paper Werewolf. Для этих атак злоумышленники, предположительно, приобрели на теневых ресурсах эксплоит к уязвимости в WinRAR за 80 000 долларов.