Un acteur malveillant propose sur le dark web un exploit ciblant Windows Remote Desktop Services, une faille corrigée par Microsoft en février, mais tout de même mise en vente pour 220 000 dollars.
La vulnérabilité CVE-2026-21533 affecte les composants Windows Remote Desktop Services (RDS) et permet à un attaquant d'escalader ses privilèges jusqu'au statut SYSTEM. Il obtient alors des droits administrateur complets sur le système. Lors du Patch Tuesday de février 2026, nous rapportions que Microsoft avait corrigé cette faille parmi six zero-days activement exploités, dont trois déjà divulgués publiquement avant la mise à disposition des correctifs.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
220 000 dollars pour une faille déjà corrigée
Selon Dark Web Informer, un acteur malveillant opérant sous le pseudonyme "Kamirmassabi", dont le profil a été créé le 3 mars 2026, propose le code pour 220 000 dollars sur un forum spécialisé. L'annonce décrit le code comme un "0day" et invite les acheteurs potentiels à entrer en contact par messagerie privée.
La faille repose sur une gestion incorrecte des privilèges dans les services RDS. Concrètement, un attaquant peut modifier une clé de registre associée à un service Bureau à distance pour la remplacer par une version qu'il contrôle. Cette manipulation lui permet d'ajouter un compte au groupe Administrateurs du système. CrowdStrike a analysé un binaire d'exploitation qui réalise précisément cette séquence d'opérations. CyberSecurityNews rapporte les propos d'Adam Meyers, responsable des opérations contre les adversaires chez CrowdStrike. Ce dernier estime que "les acteurs de la menace qui possèdent les binaires d'exploitation vont probablement accélérer leurs tentatives d'utilisation ou de vente de CVE-2026-21533 à court terme."
Notée 7,8 sur l'échelle CVSS (niveau "High"), la faille concerne Windows 10, Windows 11 (versions 23H2 et 24H2), ainsi que plusieurs éditions de Windows Server allant de la version 2012 R2 à 2025. Elle ne requiert aucune interaction de la part de l'utilisateur ciblé, ce qui en fait un outil adapté aux phases de post-exploitation dans les environnements utilisant le protocole RDP.
Microsoft recommande d'installer sans délai les mises à jour publiées le 10 février 2026. Pour les organisations qui ne peuvent pas déployer ces correctifs immédiatement, l'éditeur de Redmond recommande de :
- désactiver RDS s'il n'est pas utilisé ;
- restreindre son accès aux réseaux de confiance ;
- surveiller les modifications de registre sur les services RDS, et
- déployer des outils de détection comportementale capables d'identifier toute élévation de privilèges anormale.
Source : Dark Web Informer
