В даркнете прямо сейчас пытаются продать эксплойт для Windows за 220 000 долларов. Эксплойт нацелен конкретно на службы удаленного рабочего стола Windows (Windows Remote Desktop Services) и предоставляет злоумышленнику привилегии системного уровня на скомпрометированном компьютере.
Относительно новый пользователь под ником на форуме “Kamirmassabi” недавно разместил объявление в разделе вредоносного ПО и эксплойтов на подпольном форуме. В объявлении прямо указано, что уязвимость является “нулевого дня” (zero day), и заинтересованных покупателей призывают связаться с продавцом через личные сообщения для обсуждения покупки.
Сама уязвимость отслеживается как CVE-2026-21533. Она позволяет злоумышленнику манипулировать определенным ключом реестра конфигурации службы в рамках протокола TermService и повышать свои привилегии до системного уровня на целевом компьютере.
Однако для работы эксплойта злоумышленнику уже необходим доступ к локальной машине с низкими привилегиями. Это означает, что хакерам сначала придется получить первоначальный доступ к целевой системе, вероятно, используя одну из хорошо известных фишинговых схем, например, обманом заставив целевых пользователей загрузить вредоносные файлы, которые предоставят злоумышленнику начальный доступ к машине.
Интересно в этом конкретном эксплойте то, что Microsoft его уже исправила. Уязвимость была устранена в рамках обновления Patch Tuesday за февраль. Угроза имела огромный радиус действия и затрагивала различные сборки Windows 10 и Windows 11, а также серверные редакции, начиная от Windows Server 2012 и до Windows Server 2025.
Вероятно, злоумышленники делают ставку на то, что многие корпоративные сети еще не обновили свои системы, и именно там они ищут возможность нанести удар. Если бы уязвимость не была устранена, ее запрашиваемая цена в даркнете, вероятно, была бы намного выше.
Мы наблюдаем зарождающуюся тенденцию в сфере кибербезопасности, когда злоумышленники начинают выступать в роли продавцов, а не проводить атаки самостоятельно. На прошлой неделе мы раскрыли заговор, в рамках которого поддельная компания RMM использовала свою целевую страницу как витрину для сдачи в аренду легитимных EV-сертификатов хакерам.
Если вы являетесь администратором корпоративной сети, вам следует немедленно установить февральское обновление безопасности 2026 года, чтобы устранить эту уязвимость в вашей системе.
Источник: Dark Web Informer (X)
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ivan Jenic
