Exploit per Windows RDP venduto a 220.000 dollari: ma il presunto zero-day era già stato patchato da Microsoft

Un presunto exploit per una vulnerabilità di Windows Remote Desktop Services (RDS) è comparso nei forum underground con una richiesta di 220.000 dollari. L’annuncio riguarda un difetto identificato come CVE-2026-21533: una falla che in Windows Server, Windows 10 e Windows 11 permetterebbe l’escalation dei privilegi all’interno del sistema fino al livello amministrativo. Il caso ha attirato attenzione perché coinvolge una delle componenti più diffuse per l’accesso remoto ai sistemi Windows, tecnologia utilizzata in ambienti aziendali, infrastrutture cloud e server amministrativi.

Tante testate ed “esperti” si stanno spellando i polpastrelli in queste ore parlando di zero-day. D’altra parte, così è presentato l’exploit per la falla CVE-2026-21533 dal presunto scopritore.

Fonte dell’immagine: Dark Web Informer su X

Uno zero-day che non è uno zero-day

Non notate niente di strano? Lo zelante ricercatore che propone in vendita il suo exploit per 220.000 dollari si è iscritto al forum underground il 3 marzo 2026 e parla di zero-day. Vogliamo ricordare cos’è uno zero-day:

Uno zero-day è una vulnerabilità di sicurezza sconosciuta al produttore del software e per la quale non esiste ancora una patch. Il termine indica che gli sviluppatori hanno avuto zero giorni di tempo per correggere il problema prima che fosse scoperto o sfruttato da attaccanti.

Qual è la cosa comica? Che il ricercatore determinato a fare soldi con la sua scoperta abbina il termine zero-day (0day) all’identificativo CVE-2026-21533.

Ma come? Parla di zero-day quando il problema di sicurezza in questione risulta risolto da Microsoft già un mese prima (10 febbraio 2026) con il rilascio della patch correttiva per i suoi vari sistemi operativi? Se si trattasse davvero di uno zero-day non ci sarebbe neppure un identificativo CVE!!

Vulnerabilità n-day

L’uso del termine zero-day (0day) accanto a un identificativo CVE lascia intendere quale sia la “serietà” della richiesta.

La dinamica descritta rientra infatti nella categoria delle cosiddette vulnerabilità n-day. In questo caso il problema è pubblico, la patch è disponibile e la documentazione tecnica esiste già.

L’unico elemento incerto riguarda l’eventuale disponibilità di un exploit funzionante. Chi vende codice di attacco può sfruttare il ritardo con cui molte organizzazioni applicano gli aggiornamenti di sicurezza, ritardo che in ambienti aziendali complessi può arrivare a diverse settimane.

L’uso improprio del termine zero-day è frequente tra le testate sensazionalistiche, perché aumenta la percezione di gravità e l’attenzione mediatica. In realtà il caso CVE-2026-21533 ricorda soprattutto quanto sia importante mantenere aggiornati i sistemi: la patch esiste già, e il vero rischio riguarda chi non l’ha ancora applicata.

Remote Desktop come vettore ricorrente negli attacchi

L’implementazione del protocollo alla base del funzionamento delle funzionalità di Desktop remoto rimane uno dei punti di accesso più sfruttati nelle intrusioni contro infrastrutture Windows.

L’esposizione diretta della porta 3389 sulla rete Internet, ancora comune in molte configurazioni aziendali o ambienti cloud mal configurati, facilita attacchi di brute force, credential stuffing e tentativi di accesso automatizzati.

Studi su honeypot Windows hanno registrato milioni di connessioni e tentativi di autenticazione verso servizi RDP pubblici nel giro di poche settimane, dimostrando quanto sia aggressiva l’attività di scansione sulla rete globale.

Una vulnerabilità di escalation dei privilegi in questo contesto diventa particolarmente preziosa. Un attaccante potrebbe iniziare con credenziali compromesse o con accesso a una macchina già sotto il suo controllo per poi utilizzare il bug CVE-2026-21533 per acquisire privilegi SYSTEM. A questo punto è poi possibile ampliare l’attacco ad altri sistemi connessi nella rete altrui, sfruttando tecniche per il movimento laterale.