Windows: scoperta una grave bug nei servizi di Desktop Remoto sfruttato attivamente

Microsoft ha corretto una nuova vulnerabilità di sicurezza che interessa Windows Remote Desktop Services, uno dei componenti più utilizzati per l’accesso remoto ai sistemi Windows.
La falla, identificata come CVE-2026-21533, è stata resa pubblica il 10 febbraio 2026 e permette a un attaccante di ottenere il massimo livello di controllo sul computer colpito.

Si tratta di una vulnerabilità di tipo Elevation of Privilege, ovvero un problema che consente a un utente con permessi limitati di “salire di livello” e agire come amministratore di sistema.

Cosa significa in pratica

In condizioni normali, un utente che accede a un sistema Windows tramite Desktop Remoto ha permessi limitati. Questa vulnerabilità, invece, permette a un attaccante già autenticato di aggirare i controlli di sicurezza e ottenere i privilegi SYSTEM, il livello più alto disponibile in Windows.

Con questi privilegi è possibile:

• Installare software malevolo
• Disattivare antivirus e sistemi di difesa
• Accedere a file e dati sensibili
• Compromettere completamente il sistema

Non è richiesta alcuna interazione da parte dell’utente e lo sfruttamento è considerato tecnicamente semplice.

Una vulnerabilità già sfruttata

Un elemento particolarmente preoccupante è che Microsoft ha confermato che la vulnerabilità è già stata sfruttata attivamente, anche se i dettagli tecnici dell’exploit non sono stati resi pubblici.

Questo significa che gruppi criminali o attori avanzati potrebbero aver già utilizzato la falla in attacchi mirati, soprattutto contro infrastrutture aziendali e server esposti.

Il punteggio di gravità assegnato da Microsoft è 7.8 su 10, classificato come Important.
Pur non trattandosi di un attacco remoto diretto da Internet, l’impatto è elevato perché:

• i servizi di Desktop Remoto sono ampiamente diffusi
• basta un accesso iniziale, anche limitato
• l’attaccante può ottenere il controllo totale del sistema

In ambienti aziendali, questo tipo di vulnerabilità può diventare un punto di partenza per compromissioni più ampie.

Sistemi coinvolti e come proteggersi

La vulnerabilità interessa un numero molto ampio di versioni di Windows, tra cui:

• Windows 10 e Windows 11
• Windows Server 2012, 2016, 2019, 2022 e 2025
• Sia installazioni standard che Server Core

In pratica, gran parte dei sistemi Windows ancora supportati da Microsoft.

Microsoft ha rilasciato aggiornamenti di sicurezza ufficiali per tutti i sistemi interessati. L’installazione delle patch è obbligatoria per mitigare il rischio.

In aggiunta, è consigliabile:

• Limitare l’accesso ai servizi di Desktop Remoto solo agli utenti necessari
• Proteggere RDP con autenticazione a più fattori
• Monitorare accessi e attività sospette
• Applicare il principio del minimo privilegio

Conclusioni

La CVE-2026-21533 dimostra ancora una volta come anche componenti consolidati e largamente utilizzati, come il Desktop Remoto di Windows, possano diventare un punto critico di sicurezza.

In un contesto in cui l’accesso remoto è ormai la norma, aggiornare tempestivamente i sistemi e ridurre la superficie di attacco non è più un’opzione, ma una necessità.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research