Ένας ηθοποιός απειλής φέρεται να πουλάει ένα μηδενικό exploit για μια ευπάθεια κλιμάκωσης των προνομίων των Windows Remote Desktop Services, που παρακολουθείται ως CVE-2026-21533, για ένα εκπληκτικό ποσό 220.000 $ σε ένα φόρουμ σκοτεινού ιστού. Αυτό το εκμεταλλεύσιμο με υψηλή τιμή στοχεύει την ακατάλληλη διαχείριση προνομίων για να παραχωρήσει στους εισβολείς τοπικό διοικητικό έλεγχο.
Η υπόγεια κοινότητα της κυβερνοασφάλειας παρατήρησε μια νέα καταχώριση υψηλού στοιχήματος σε ένα σκοτεινό φόρουμ ιστού, όπου ένας πρόσφατα εγγεγραμμένος χρήστης με το όνομα Kamirmassabi δημοπρατεί ένα exploit για το CVE-2026-21533.
Ο ηθοποιός απειλών, ο οποίος δημιούργησε τον λογαριασμό του στις 3 Μαρτίου 2026, δημοσίευσε την καταχώριση στο “[Virology] – malware, exploits, bundles, AZ, crypt”.
Η διαφήμιση που εντοπίστηκε από το Dark Web Informer χαρακτηρίζει ρητά την ευπάθεια ως “0day” και ορίζει την τιμή αγοράς στα 220.000 $, ζητώντας από τους ενδιαφερόμενους αγοραστές να επικοινωνήσουν μέσω ιδιωτικών μηνυμάτων για σχόλια και συναλλαγές.
.webp.jpeg)
Ενώ το CVE-2026-21533 δημοσιεύτηκε αρχικά από τη Microsoft τον Φεβρουάριο του 2026, η διαθεσιμότητα μιας λειτουργικής, οπλισμένης εκμετάλλευσης παρουσιάζει σοβαρό κίνδυνο για τα εταιρικά περιβάλλοντα.
Η υπερβολική τιμή υποδηλώνει ότι το exploit είναι εξαιρετικά αξιόπιστο και στοχεύει ενδεχομένως ένα ευρύ φάσμα μη επιδιορθωμένων συστημάτων σε διαφορετικές αρχιτεκτονικές των Windows. Τα οπτικά στοιχεία επιβεβαιώνουν την ενεργή προσέλκυση αυτής της εκμετάλλευσης, υπογραμμίζοντας την ταχεία εμπορευματοποίηση κρίσιμων τρωτών σημείων στο υπόγειο του κυβερνοεγκλήματος.
Το CVE-2026-21533 είναι μια σοβαρή ευπάθεια Elevation of Privilege (EoP) που βασίζεται σε ακατάλληλη διαχείριση προνομίων εντός της Απομακρυσμένης επιφάνειας εργασίας των Windows.
Το ελάττωμα παρουσιάζεται επειδή το προϊόν αποτυγχάνει να εκχωρήσει σωστά, να τροποποιήσει, να παρακολουθήσει ή να ελέγξει τα δικαιώματα ενός ηθοποιού, δημιουργώντας έτσι μια ακούσια σφαίρα ελέγχου. Εάν γίνει επιτυχής εκμετάλλευση, ένας εξουσιοδοτημένος εισβολέας με τυπικά δικαιώματα χρήστη θα μπορούσε να αυξήσει τα προνόμιά του τοπικά σε ένα παραβιασμένο σύστημα, αποκτώντας ενδεχομένως πλήρη διαχειριστικό έλεγχο.
Αυτή η ευπάθεια επηρεάζει μια τεράστια γκάμα λειτουργικών συστημάτων της Microsoft, συμπεριλαμβανομένων διαφόρων εκδόσεων των Windows 10, των Windows 11 και των εκδόσεων Windows Server που κυμαίνονται από το 2012 έως τις πιο πρόσφατες εκδόσεις του 2025.
Με βαθμολογία CVSSv3 7,8, η ευπάθεια ταξινομείται ως υψηλής σοβαρότητας και η προσθήκη της στον κατάλογο γνωστών εκμεταλλευόμενων ευπαθειών της CISA υπογραμμίζει την άμεση ανάγκη αποκατάστασης.
Για να μετριαστεί αυτή η απειλή, οι οργανισμοί πρέπει να εφαρμόσουν αμέσως τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας της Microsoft σε όλα τα επηρεαζόμενα τελικά σημεία και διακομιστές. Οι διαχειριστές θα πρέπει επίσης να ακολουθούν τις ισχύουσες οδηγίες CISA BOD 22-01 για τις υπηρεσίες cloud ή να απενεργοποιούν τις Υπηρεσίες απομακρυσμένης επιφάνειας εργασίας, εάν δεν μπορούν να εφαρμοστούν άμεσα μέτρα μετριασμού.
Οι διαχειριστές θα πρέπει να απενεργοποιήσουν το RDS εάν δεν είναι απολύτως απαραίτητο, να περιορίσουν την πρόσβαση σε αξιόπιστα δίκτυα και να αναπτύξουν λύσεις ανίχνευσης και απόκρισης τελικού σημείου (EDR) για την παρακολούθηση ανώμαλων αλλαγών μητρώου και προσπαθειών κλιμάκωσης προνομίων.
