Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Home
Exploit Zero-Day per Windows RDP a 220.000 dollari. Ecco il mercato dei cyber-weapons

Exploit Zero-Day per Windows RDP a 220.000 dollari. Ecco il mercato dei cyber-weapons

11 Marzo 2026 13:52

Un presunto exploit per la vulnerabilità CVE-2026-21533, che colpisce Windows Remote Desktop Services (RDS), è stato recentemente messo in vendita su forum underground del cybercrime.

L’annuncio pubblicato da un utente con nickname Kamirmassabi sul noto forum Exploit, propone la vendita del codice exploit per 220.000 dollari, segno dell’elevato valore che alcune vulnerabilità possono raggiungere nel mercato grigio delle cosiddette cyber-weapons.

Il caso rappresenta un altro esempio concreto di come le vulnerabilità zero-day o exploit funzionanti possano diventare vere e proprie merci, vendute tra ricercatori, gruppi criminali, broker e operatori di cyber-offensive.

Advertising
Vendita dell’exploit 0day sul bug CVE-2026-21533 (Fonte Paragon Sec)

La vulnerabilità CVE-2026-21533

La CVE-2026-21533 è una vulnerabilità classificata come Elevation of Privilege (EoP) che interessa i servizi Windows Remote Desktop Services. Il problema deriva da una gestione impropria dei privilegi all’interno del servizio RDP di Windows. Un attaccante autenticato potrebbe sfruttare il bug per elevare i propri privilegi fino al livello SYSTEM, il livello più alto nel sistema operativo.

La vulnerabilità ha un punteggio CVSS di circa 7.8, classificata come “High” da Microsoft e dal NIST.

La vulnerabilità di sicurezza è stata inclusa anche nel catalogo delle vulnerabilità note sfruttate dal CISA KEV; è stata evidenziata l’urgente necessità di un intervento correttivo a causa dell’effettivo utilizzo dell’exploit.

In uno scenario realistico l’attacco si sviluppa generalmente in tre fasi:

  1. Accesso iniziale
    • L’attaccante ottiene una sessione RDP o un accesso locale con privilegi limitati.
  2. Sfruttamento della vulnerabilità
    • L’exploit sfrutta la gestione errata dei privilegi nel servizio RDS.
  3. Escalation dei privilegi
    • L’utente compromesso può ottenere privilegi SYSTEM, permettendo:
    • esecuzione di codice con privilegi massimi
    • installazione di malware
    • movimento laterale nella rete
    • persistenza sull’infrastruttura.

Tali vulnerabilità sono particolarmente preziose negli attacchi avanzati perché permettono agli aggressori di trasformare un accesso limitato in un compromesso totale della macchina.

Advertising

Perché un exploit può valere 220.000 dollari

Nel mercato clandestino, il prezzo di un exploit dipende da diversi fattori:

  • Diffusione del software vulnerabile
  • Affidabilità dell’exploit
  • assenza di patch o mitigazioni
  • possibilità di utilizzo in campagne offensive

Windows RDP è uno dei servizi più utilizzati nelle infrastrutture aziendali e negli ambienti server. Un exploit affidabile per questo componente può quindi diventare uno strumento estremamente prezioso per intrusioni mirate, ransomware o cyber-spionaggio.

Il mercato delle cyber-weapons

La vendita di exploit è oggi parte di un vero e proprio mercato globale delle cyber-armi. In questo ecosistema operano diversi attori:

  • Vulnerability researchers: Ricercatori che scoprono bug software.
  • Broker di exploit (0-day brokers): Intermediari che acquistano vulnerabilità o exploit funzionanti e li rivendono a clienti selezionati.
  • Acquirenti : Tra cui gruppi di criminali informatici, società di intelligence, contractor governativi e agenzie di sicurezza.

Gli exploit possono essere venduti in esclusiva, oppure distribuiti a più acquirenti.

I broker di zero-day

Negli ultimi anni si è sviluppato un mercato semi-legale di broker specializzati nella compravendita di vulnerabilità. Alcuni dei più noti includono:

  • Zerodium: Una delle società più conosciute nel settore. Acquista exploit zero-day per piattaforme come iOS, Android e Windows pagando anche milioni di dollari.
  • Crowdfense: Broker con sede negli Emirati Arabi che acquista vulnerabilità e exploit destinati principalmente a governi.
  • Exodus Intelligence: Società specializzata nella ricerca e vendita di exploit a clienti governativi.

Queste aziende sostengono di vendere exploit esclusivamente a clienti governativi autorizzati, ma il settore rimane molto controverso.

Un ecosistema opaco

Il confine tra ricerca di sicurezza, intelligence e cybercrime è spesso sottile. Forum underground, marketplace del dark web e piattaforme private ospitano quotidianamente annunci di vendita di exploit, accessi a reti compromesse e tool offensivi. In molti casi gli exploit vengono venduti come “weaponized exploit”, cioè pronti all’uso.

Il caso dell’exploit per CVE-2026-21533 mostra ancora una volta come una vulnerabilità software possa rapidamente trasformarsi in un asset economico per il cybercrime, con prezzi che raggiungono centinaia di migliaia di dollari.


📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su 🔔 Google News.
Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram.
Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici


1744358477148 300x300
Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.
Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research