# CVE-2026-21248 > [!medium] Windows Privilege Escalation - Patch Tuesday Fevereiro 2026 > Vulnerabilidade de elevação de privilégios no Windows, corrigida no Patch Tuesday de fevereiro de 2026. Permite que usuários autenticados com baixos privilégios escalem para SYSTEM, representando risco em ambientes com múltiplos usuários ou após comprometimento inicial. ## Visão Geral CVE-2026-21248 é uma vulnerabilidade de elevação de privilégios no Microsoft Windows, divulgada e corrigida no Patch Tuesday de fevereiro de 2026. A falha afeta versões modernas do Windows (10, 11 e Server 2019-2025) e permite que um atacante com acesso local autenticado - mesmo com privilégios baixos - eleve suas permissões para SYSTEM, o nível máximo de controle do sistema operacional. Vulnerabilidades de escalação de privilégios como esta são tipicamente utilizadas como segunda etapa em cadeias de ataque: após um acesso inicial via phishing, exploração de aplicação web ou credenciais comprometidas ([[t1078-valid-accounts|T1078]]), o atacante usa o CVE para obter controle total do sistema. A combinação acesso inicial + escalação de privilégios é o padrão operacional de práticamente todos os ransomwares modernos e campanhas APT. Embora sem exploit público confirmado no momento da divulgação, a natureza LPE (Local Privilege Escalation) torna este CVE relevante em ambientes corporativos com controles de endpoint. ## TTPs Relacionados - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - técnica principal - [[t1078-valid-accounts|T1078 - Valid Accounts]] - acesso inicial pré-requisito - [[t1543-003-windows-service|T1543.003 - Windows Service]] - persistência pós-escalação - [[t1055-process-injection|T1055 - Process Injection]] - técnica pós-SYSTEM > [!latam] Relevância para o Brasil > CVEs de LPE Windows são explorados de forma generalizada em ataques de ransomware contra empresas brasileiras. Grupos como **BlackCat/ALPHV**, **RansomHub** e operadores do **LockBit** incluem LPEs Windows recentes em seus toolkits. A janela entre divulgação e exploração ativa tem diminuído - organizações brasileiras devem aplicar patches Windows no ciclo de 30 dias pós-Patch Tuesday. ## Detecção e Defesa - Aplicar patch Patch Tuesday fevereiro 2026 (KB disponível via Windows Update) - [[m1051-update-software|M1051]] - gestão de patches em 30 dias - Monitorar tokens de processo com SID SYSTEM inesperados (eventos 4624, 4672) - Implementar [[m1026-privileged-account-management|M1026]] - princípio de menor privilégio ## Referências - [Microsoft Security Update Guide - CVE-2026-21248](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21248) - [MITRE ATT&CK - T1068](https://attack.mitre.org/techniques/T1068/)