Эксплоит для RD Web Access продают в даркнете за 200 000 долларов

Под ударом могут оказаться около 400 российских компаний.

Специалисты BI.ZONE Threat Intelligence обнаружили на одном из теневых форумов объявление о продаже эксплоита к 0-day уязвимости в RD Web Access. Это компонент Microsoft Remote Desktop Services, связанный с публикацией удаленных рабочих столов и приложений через веб-интерфейс. Его активно используют для организации удаленного доступа к рабочим столам.

Эксплоит предполагает получение удалённого доступа через уязвимый веб-сервис. Изначальная цена, указанная продавцом, составляет 200 000 долларов.

По оценке BI.ZONE, в России в зоне потенциального риска могут находиться порядка 400 организаций, опубликовавших RD Web Access на периметре.

Павел Загуменнов, руководитель направления EASM, BI.ZONE: «Согласно исследованию Threat Zone 2026, 18% кибератак на российские компании начинаются именно с компрометации служб удаленного доступа. Сервисы семейства RDS традиционно рассматриваются злоумышленниками как потенциально привлекательная точка первичного доступа в корпоративную инфраструктуру.В случае успешной эксплуатации уязвимости атакующий может получить возможности для дальнейшего развития атаки. Они включают закрепление в инфраструктуре, перемещение по сети, развертывание вредоносного ПО и компрометацию учетных записей терминального сервера».

Решение BI.ZONE CPT позволяет автоматически обнаруживать опубликованные инстансы RD Web Access на внешнем периметре, а интеграция с BI.ZONE Threat Intelligence — своевременно фиксировать признаки интереса со стороны злоумышленников, включая обсуждение эксплуатации и предложения о продаже эксплоитов на теневых ресурсах. Если же компания самостоятельно обнаружила, что используемый сервис был долгое время уязвим и общедоступен, рекомендуется оценить инфраструктуру на предмет компрометации, например с помощью BI.ZONE Compromise Assessment.