# CVE-2026-21519 - Windows Desktop Window Manager EoP Zero-Day (CISA KEV) > [!high] CVSS 7.8 - Alto - Windows DWM Zero-Day - Exploração ativa confirmada - CISA KEV 11/02/2026 > Zero-day de elevação de privilégio no **Windows Desktop Window Manager (DWM)**, explorado ativamente antes da divulgação e corrigido no Patch Tuesday de fevereiro de 2026. Adicionado ao CISA KEV em 11 de fevereiro - um dos **6 zero-days simultâneos** do maior Patch Tuesday em zero-days desde agosto de 2024. ## Visão Geral [[cve-2026-21519|CVE-2026-21519]] é uma zero-day de elevação de privilégio no Windows Desktop Window Manager (DWM), o componente do Windows responsável pelo gerenciamento de janelas e renderização gráfica do ambiente desktop. A vulnerabilidade foi explorada ativamente antes de sua divulgação pública no Patch Tuesday de 10 de fevereiro de 2026, sendo adicionada ao catálogo CISA KEV um dia depois (11 de fevereiro) com prazo acelerado de remediação. O DWM opera com privilégios elevados no Windows, tornando falhas neste componente úteis como segundo estágio em cadeias de ataque: após acesso inicial (por exemplo, via phishing ou exploit de aplicação web), um atacante com privilégios de usuário comum pode usar esta EoP para escalar para SYSTEM e comprometer completamente o endpoint. No contexto do Patch Tuesday W07/2026 - que corrigiu 6 zero-days ativamente explorados - esta CVE integrou um padrão de ataques combinados envolvendo bypass de SmartScreen ([[cve-2026-21510|CVE-2026-21510]]) como vetor de acesso inicial. > [!latam] Relevância LATAM > EoPs de zero-day no Windows são ferramentas padrão de pós-exploração de grupos de ransomware e espionagem que operam no Brasil. A exploração ativa antes do patch indica que atores sofisticados utilizaram esta falha em campanhas reais - incluindo potencialmente contra alvos brasileiros - enquanto o patch não estava disponível. ## Detalhes Técnicos **Componente:** Windows Desktop Window Manager (DWM) **Tipo:** Elevation of Privilege (EoP) - local **Status:** Zero-day - exploração ativa confirmada antes do patch **CISA KEV:** Adicionado em 11/02/2026 ## Contexto - 6 Zero-Days do Patch Tuesday W07/2026 | CVE | CVSS | Componente | CISA KEV | |-----|------|-----------|----------| | [[cve-2026-21510\|CVE-2026-21510]] | 8.8 | Windows Shell (SmartScreen) | 10/02 | | [[cve-2026-21513\|CVE-2026-21513]] | 8.8 | MSHTML | 10/02 | | [[cve-2026-21514\|CVE-2026-21514]] | 7.8 | Microsoft Word | 11/02 | | CVE-2026-21519 (este) | 7.8 | Desktop Window Manager | 11/02 | | [[cve-2026-21525\|CVE-2026-21525]] | 6.2 | Remote Access Connection Mgr | 12/02 | | [[cve-2026-21533\|CVE-2026-21533]] | 7.8 | RDP Services | 12/02 | ## Detecção e Defesa - Aplicar Patch Tuesday de fevereiro 2026 imediatamente - obrigatório por CISA KEV via [[m1051-update-software|M1051]] - Prazo CISA KEV: verificar no catálogo oficial para organizações federais - Monitorar escalonamento de privilégio via DWM nos logs de eventos Windows (Event ID 4672) - Detectar criação anômala de processos com SYSTEM token via Sysmon e EDR - Monitorar tráfego de rede após eventos de EoP para detectar movimentação lateral via [[t1021-remote-services|T1021]] - Revisar logs de autenticação para sessões de alto privilégio inesperadas ## Referências - [NVD - CVE-2026-21519](https://nvd.nist.gov/vuln/detail/CVE-2026-21519) - [[cve-2026-21510|CVE-2026-21510]] (SmartScreen bypass - mesmo Patch Tuesday, vetor de acesso inicial) - [[cve-2026-21513|CVE-2026-21513]] (MSHTML zero-day - mesmo Patch Tuesday) - [[cve-2026-21533|CVE-2026-21533]] (RDP EoP - mesmo Patch Tuesday) - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - [[t1134-access-token-manipulation|T1134 - Access Token Manipulation]] - [[m1051-update-software|M1051 - Update Software]] - [[m1026-privileged-account-management|M1026 - Privileged Account Management]] - [[financial|Financeiro]] - [[government|Governo]] - [[technology|Tecnologia]]