Une faille de sécurité dangereuse affectant Microsoft Windows est désormais en vente sur le dark web. Cet outil permet de prendre le contrôle total d'un ordinateur et son prix sur un forum du dark web atteint 220 000 dollars. Un vendeur opérant sous le pseudonyme de « Kamirmassabi » a publié l'annonce dans la section dédiée aux logiciels malveillants et aux exploits d'un forum clandestin du dark web. D'après la description, la vulnérabilité proposée est une faille « zero-day » permettant à un attaquant d'obtenir des privilèges système sur une machine compromise. La vulnérabilité, référencée CVE-2026-21533, affecte le composant Services Bureau à distance Windows. Le mécanisme d'attaque repose sur la manipulation d'une clé de configuration du registre liée au protocole TermService, permettant ainsi une élévation de privilèges au niveau système. Bien que cette faille soit grave, elle ne permet pas une prise de contrôle immédiate d'un ordinateur à distance. Pour l'exploiter, un cybercriminel doit d'abord obtenir un accès à un compte disposant de privilèges limités sur la machine locale. En pratique, cela signifie qu'une attaque commence généralement par des méthodes classiques, comme des campagnes d'hameçonnage ou en incitant les utilisateurs à télécharger un fichier malveillant. Ce n'est qu'après avoir obtenu cet accès initial que la faille permet un contrôle total du système.

Il est intéressant de noter que Microsoft avait déjà corrigé cette vulnérabilité dans sa mise à jour de sécurité de février. Le correctif a été déployé lors du Patch Tuesday. Cette vulnérabilité était particulièrement dangereuse car elle affectait un large éventail de systèmes, de Windows 10 et Windows 11 aux versions serveur, y compris Windows Server 2012 et jusqu'à Windows Server 2025. Malgré la disponibilité d'un correctif, une faille de sécurité peut rester précieuse. Les cybercriminels partent du principe que de nombreux réseaux d'entreprise n'ont pas encore été mis à jour. Dans les grandes organisations, le processus de mise à jour peut être long, créant ainsi une brèche pour d'éventuelles attaques. Les experts constatent également une tendance croissante en matière de cybercriminalité : au lieu de mener eux-mêmes des attaques, certains groupes agissent comme prestataires de services, vendant des failles de sécurité, des certificats et des outils de piratage à d'autres criminels. Par conséquent, les administrateurs doivent installer la mise à jour de sécurité de février dès que possible. Celle-ci corrige la vulnérabilité et empêche les attaquants d'exploiter une faille potentielle. Sans cela, même une faille corrigée pourrait constituer une menace sérieuse pour les systèmes obsolètes.