Хакер с ником Kamirmassabi разместил на форуме в даркнете объявление о продаже эксплойта для Windows за $220 000. Эксплойт нацелен на службы удалённого рабочего стола Windows и предоставляет злоумышленнику системные привилегии на скомпрометированном компьютере.
В объявлении упоминается, что это уязвимость нулевого дня. Она отслеживается как CVE-2026-21533. Уязвимость позволяет злоумышленнику манипулировать определённым ключом реестра конфигурации службы в рамках протокола TermService и повысить свои привилегии до системного уровня на целевом компьютере.
Однако для работы эксплойта злоумышленнику необходимо уже иметь аутентифицированный доступ с низкими привилегиями к локальной машине. Это означает, что хакерам сначала нужно получить первоначальный доступ к системе, вероятно, используя одну из схем фишинга.
Между тем сама Microsoft уже исправила эту уязвимость в рамках февральского обновления Patch Tuesday. Угроза имела огромный радиус действия и затрагивала различные сборки Windows 10 и Windows 11, а также серверные версии от Windows Server 2012 до Windows Server 2025.
Вероятно, злоумышленники рассчитывают на то, что многие корпоративные сети ещё не обновили свои системы, и именно там они ищут возможность для атаки.
Администратором корпоративной сети рекомендуют немедленно установить февральское обновление безопасности.
В январском обновлении безопасности Microsoft тоже устранила две ранее неизвестные уязвимости в драйвере файловой системы NTFS. Они обнаружились в защите системного файла ntfs.sys, который управляет NTFS. Уязвимости относятся к классу heap-based buffer overflow: такие дефекты дают потенциальному атакующему возможность записывать данные за пределы предназначенной для них области памяти. В данном случае ошибка была связана с недостаточно безопасной обработкой виртуальных жёстких дисков. Однако для успешной атаки злоумышленнику тоже необходимо было иметь предварительный доступ к системе.
