Тревожный сигнал для всех, кто использует Microsoft Remote Desktop Services. Специалисты BI.ZONE Threat Intelligence зафиксировали в закрытых разделах даркнета объявление о продаже работающего эксплойта к 0-day уязвимости в компоненте RD Web Access. Продавец выставил цену в 200 000 долларов США (оплата принимается в биткоинах), при этом демонстрационное видео успешной эксплуатации на полностью пропатченной Windows Server 2025 уже опубликовано.
Почему это страшно?
-
RD Web Access — это «парадная дверь» для удаленных сотрудников. Он часто торчит прямо в интернете, защищенный лишь слабым паролем или вообще без MFA.
-
Эксплойт позволяет злоумышленнику выполнить произвольный код на сервере с правами SYSTEM еще до того, как пользователь введет логин. Никаких кликов, никаких файлов — просто факт отправки специально сформированного HTTP-запроса.
-
По данным сканирования Shodan, в России открыто более 1200 экземпляров RD Web Access. По оценке экспертов, в зоне реального риска — не менее 400 компаний (промышленность, финансы, ритейл, госсектор).
Исследование Threat Zone 2026 подтверждает тренд: 18% всех успешных кибератак на российские компании в прошлом году начались именно с компрометации служб удаленного доступа. Хакеры используют легитимные учетные записи и живут внутри сети месяцами.
Что делать прямо сейчас?
-
Временно отключить RD Web Access, если он не критичен.
-
Если отключить нельзя — усилить мониторинг логов IIS и событий аутентификации.
-
Поставить виртуальный патч на межсетевой экран уровня приложений (WAF) с поддержкой сигнатур для неизвестных уязвимостей.
-
Ждать официального патча от Microsoft (обычно выходит во второй вторник месяца, но 0-day — непредсказуем).
Специалисты нашей компании можем оперативно провести сканирование вашего внешнего периметра и выявить, торчит ли ваш RD Web Access в интернете.