CVE-2026-21533: Elevação de Privilégio Crítica no Windows Remote Desktop Services
Exploração Ativa Confirmada
A CISA adicionou o CVE-2026-21533 ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) em 10 de fevereiro de 2026. Evidências de exploração in-the-wild remontam a 24 de dezembro de 2025, com alvos em entidades dos EUA e Canadá. Aplique o patch imediatamente.
Resumo Técnico
| CVE ID | CVE-2026-21533 |
| Tipo | Elevação de Privilégio (EoP) |
| Componente | Windows Remote Desktop Services (RDS / TermService) |
| CVSS v3.1 | 7.8 — Alto |
| CWE | CWE-269 — Improper Privilege Management |
| Vetor de Ataque | Local (autenticado) |
| Exploração Ativa | Sim — desde dez/2025 |
| Patch Disponível | Sim — Patch Tuesday Fev/2026 |
| Descoberto por | CrowdStrike (reportado à Microsoft) |
O que é o CVE-2026-21533?
O CVE-2026-21533 é uma vulnerabilidade de elevação de privilégio identificada no componente Windows Remote Desktop Services (RDS), especificamente no serviço TermService. A falha, classificada como Important pela Microsoft com pontuação CVSS de 7.8, permite que um atacante autenticado localmente escale seus privilégios para o nível SYSTEM — o mais alto possível no Windows — sem qualquer interação adicional do usuário.
A vulnerabilidade foi descoberta e reportada à Microsoft pela equipe de inteligência da CrowdStrike, que identificou exploração ativa in-the-wild remontando a pelo menos 24 de dezembro de 2025, semanas antes da divulgação pública. A CISA adicionou o CVE ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV) no mesmo dia do Patch Tuesday, em 10 de fevereiro de 2026.
Como a Exploração Funciona
O mecanismo de exploração envolve a manipulação de uma chave de configuração de serviço no registro do Windows. O binário de exploit modifica a chave de configuração do serviço TermService, substituindo-a por uma chave controlada pelo atacante. Isso permite que o processo malicioso seja executado com os privilégios do serviço, que opera em nível SYSTEM.
Com acesso SYSTEM, o atacante pode executar ações devastadoras no ambiente comprometido, incluindo a adição de novos usuários ao grupo Administradores, desabilitação de ferramentas de segurança, implantação de ransomware e movimentação lateral pela rede. A análise da CrowdStrike indica que atores de ameaça utilizaram esse binário para atacar entidades nos EUA e Canadá.
Por que isso é Crítico
Atacantes escalam de usuário padrão para o maior nível de privilégio do sistema, assumindo controle total da máquina.
Capacidade de desabilitar ferramentas de segurança, implantar ransomware e adicionar usuários não autorizados ao grupo Administradores.
Não requer interação do usuário-alvo. Um atacante com acesso local autenticado pode executar a escalada de forma furtiva.
Afeta praticamente todas as versões modernas do Windows e Windows Server com RDS habilitado — um serviço amplamente utilizado em ambientes corporativos.
Sistemas Afetados
| Sistema Operacional | Status | KB do Patch |
|---|---|---|
| Windows 10 (32/64-bit) | Afetado | KB5052077 |
| Windows 11 (21H2–24H2) | Afetado | KB5052093 |
| Windows Server 2016 | Afetado | KB5052006 |
| Windows Server 2019 | Afetado | KB5051999 |
| Windows Server 2022 | Afetado | KB5052000 |
| Windows Server 2025 | Afetado | KB5051987 |
* Consulte o Microsoft Security Response Center para a lista completa e atualizada de sistemas afetados.
Ações Recomendadas
1. Aplique o Patch Imediatamente
Instale as atualizações cumulativas de segurança do Patch Tuesday de fevereiro de 2026 para Windows 10, 11 e todas as versões do Windows Server (2016, 2019, 2022 e 2025). Acesse o Windows Update ou o Microsoft Update Catalog.
2. Restrinja Conexões RDP
Para sistemas que não podem ser patcheados imediatamente, defina o valor de registrofDenyTSConnectionscomo 1 emHKLM\SYSTEM\CurrentControlSet\Control\Terminal Serverpara negar conexões de Remote Desktop.
3. Habilite Network Level Authentication (NLA)
Para sistemas que precisam manter o RDP acessível, force a Autenticação em Nível de Rede (NLA) via Política de Grupo. Isso adiciona uma camada de autenticação antes do estabelecimento da sessão RDS, dificultando a exploração.
4. Monitore Atividade Suspeita no TermService
Monitore alterações não autorizadas em chaves de registro do serviçoTermServicee criação de novas contas no grupo Administradores. Use ferramentas de EDR para detectar comportamentos anômalos de escalada de privilégio.
Scripts da Equipe Vicarius Research
A equipe de pesquisa da Vicarius disponibilizou scripts PowerShell para detecção e mitigação do CVE-2026-21533. Recomendamos testar em ambiente de laboratório antes de aplicar em produção.
Contexto: Patch Tuesday de Fevereiro de 2026
O CVE-2026-21533 foi um dos seis zero-days ativamente explorados corrigidos no Patch Tuesday de fevereiro de 2026, que totalizou 59 vulnerabilidades corrigidas pela Microsoft. A CrowdStrike, que descobriu e reportou a falha, classificou-a como a mais crítica do lote em termos de impacto operacional, dado o uso generalizado do Remote Desktop Services em ambientes corporativos e de infraestrutura crítica.
A CISA, em seu alerta de 10 de fevereiro de 2026, determinou que agências federais dos EUA devem aplicar o patch até 3 de março de 2026. Organizações privadas devem tratar essa correção com a mesma urgência.
Como a SUPRYX Pode Ajudar
A SUPRYX oferece serviços especializados de Gestão de Vulnerabilidades com tecnologia Vicarius, que automatiza a identificação, priorização e remediação de vulnerabilidades como o CVE-2026-21533 em toda a sua infraestrutura. Além disso, nossas soluções de Endpoint Protection com Sophos e monitoramento contínuo garantem que ameaças ativas sejam detectadas e bloqueadas antes de causarem danos.
Sua infraestrutura está protegida?
Nossa equipe pode auditar seus sistemas em busca do CVE-2026-21533 e outras vulnerabilidades críticas, aplicar mitigações e garantir que seu ambiente esteja protegido contra ameaças ativas.
Compartilhe este alerta:
Fontes e Referências
Há 26 anos trazendo soluções em Tecnologia e Cybersegurança para empresas que não podem se dar ao luxo de serem vulneráveis.