Hakerzy sprzedają exploit Windowsa w Dark Webie. Firmy zagrożone

W cyberprzestępczym podziemiu pojawiła się oferta sprzedaży groźnego exploita dla systemów Windows od Microsoftu. Narzędzie umożliwia przejęcie pełnej kontroli nad komputerem, a jego cena na jednym z forów w dark webie wynosi aż 220 tysięcy dolarów.

Sprzedawca działający pod pseudonimem „Kamirmassabi” opublikował ogłoszenie w sekcji malware i exploitów na podziemnym forum w dark webie. Według opisu sprzedawana podatność to tzw. zero-day, która pozwala atakującemu uzyskać uprawnienia systemowe na przejętej maszynie.

Narzędzie umożliwia przejęcie pełnej kontroli nad komputerem, a jego cena na jednym z forów w dark webie wynosi aż 220 tysięcy dolarów.

Luka została oznaczona jako CVE-2026-21533 i dotyczy komponentu Windows Remote Desktop Services. Mechanizm ataku polega na manipulacji kluczem konfiguracyjnym w rejestrze powiązanym z protokołem TermService, co umożliwia eskalację uprawnień do poziomu systemowego.

Atak wymaga pierwszego kroku

Choć exploit jest poważny, nie pozwala na natychmiastowe zdalne przejęcie komputera. Aby go wykorzystać, cyberprzestępca musi najpierw zdobyć dostęp do konta z niskimi uprawnieniami na lokalnej maszynie. W praktyce oznacza to, że atak najczęściej rozpoczynałby się od klasycznych metod, takich jak kampanie phishingowe czy nakłanianie użytkowników do pobrania złośliwego pliku. Dopiero po uzyskaniu wstępnego dostępu exploit pozwala przejąć pełną kontrolę nad systemem.

Microsoft już załatał problem

Co ciekawe, luka została już usunięta przez Microsoft w lutowej aktualizacji bezpieczeństwa. Poprawka pojawiła się w ramach cyklicznego pakietu aktualizacji Patch Tuesday. Podatność była szczególnie niebezpieczna, ponieważ obejmowała szeroką gamę systemów, od Windows 10 i Windows 11 po serwerowe wydania systemu, w tym Windows Server 2012 aż do Windows Server 2025.

Hakerzy liczą na opóźnione aktualizacje

Mimo dostępnej poprawki exploit wciąż może być wartościowy. Cyberprzestępcy zakładają bowiem, że wiele firmowych sieci nie zostało jeszcze zaktualizowanych. W dużych organizacjach proces wdrażania poprawek bywa powolny, co tworzy okno do potencjalnych ataków. Eksperci zauważają też rosnący trend w cyberprzestępczości - zamiast samodzielnie przeprowadzać ataki, część grup zaczyna działać jak dostawcy usług. Sprzedają exploity, certyfikaty czy narzędzia hakerskie innym przestępcom.

Dlatego administratorzy powinni jak najszybciej zainstalować lutową aktualizację bezpieczeństwa, która eliminuje podatność i zamyka potencjalną furtkę dla atakujących. W przeciwnym razie nawet „załatany” już exploit może stać się poważnym zagrożeniem dla nieaktualizowanych systemów.