# CVE-2026-21533 - Windows RDS Escalação de Privilégios Zero-Day Associado ao APT28 > [!critical] CISA KEV - Zero-Day EoP Explorado por APT28 > Vulnerabilidade zero-day de escalação de privilégios (EoP) nos Windows Remote Desktop Services, explorada ativamente por [[g0007-apt28|APT28]] (Fancy Bear) em campanhas de espionagem. Permite que um atacante com acesso local ou via sessão RDS obtenha privilégios SYSTEM, completando uma cadeia de exploração devastadora quando encadeada com outras vulnerabilidades. ## Visão Geral O Windows Remote Desktop Services (RDS) é um componente fundamental da infraestrutura Windows presente em práticamente todos os ambientes corporativos modernos - tanto para acesso remoto de usuários quanto para gerenciamento de servidores. A CVE-2026-21533 é uma vulnerabilidade de escalação de privilégios (Elevation of Privilege - EoP) que permite que um processo rodando com privilégios de usuário comum eleve suas permissões para SYSTEM, o nível mais alto de autorização no sistema operacional Windows. A associação desta vulnerabilidade ao [[g0007-apt28|APT28]] (Fancy Bear), grupo de espionagem cibernética ligado ao GRU (inteligência militar russa), é particularmente significativa. O APT28 tem histórico de exploração de zero-days em componentes Windows para campanhas de espionagem de longa duração contra governos, organizações militares, ONGs e entidades políticas. A exploração desta EoP em conjunto com [[cve-2026-21514|CVE-2026-21514]] (Office RCE) representa uma cadeia de exploração completa: o Office RCE fornece acesso inicial e a EoP no RDS eleva os privilégios para controle total do sistema. A natureza do RDS como serviço de acesso remoto amplifica o impacto: servidores Windows usados para acesso remoto de múltiplos usuários (Terminal Servers, Remote Desktop Session Hosts) ficam expostos a qualquer usuário autenticado no sistema, mesmo com baixos privilégios. Ambientes corporativos que permitem RDS da internet sem controles adequados são alvos prioritários. ## Produtos Afetados | Produto | Versões Vulneráveis | Versão Corrigida | |---------|--------------------|--------------------| | Windows 10 (todas as versões) | Antes do patch fev 2026 | KB para fev 2026 | | Windows 11 (todas as versões) | Antes do patch fev 2026 | KB para fev 2026 | | Windows Server 2019 | Antes do patch fev 2026 | KB para fev 2026 | | Windows Server 2022 | Antes do patch fev 2026 | KB para fev 2026 | | Windows Server 2025 | Antes do patch fev 2026 | KB para fev 2026 | ## Análise Técnica A vulnerabilidade está no componente de gerenciamento de sessões do Windows Remote Desktop Services. O flaw é uma condição de race condition ou corrupção de objeto em kernel-mode que, quando explorada, permite overwrite de estruturas de segurança do processo para elevar o token de segurança de USER para SYSTEM. O encadeamento com [[cve-2026-21514|CVE-2026-21514]] forma uma cadeia de exploração completa altamente relevante para operações APT: ``` [Phishing] → CVE-2026-21514 (Office RCE) → Execução como usuário padrão → CVE-2026-21533 (RDS EoP) → SYSTEM/Domain Admin → Movimento lateral irrestrito ``` Em servidores RDS (Terminal Servers), um atacante que já comprometeu uma conta de usuário legítima pode usar esta vulnerabilidade para obter controle administrativo completo do servidor e potencialmente de todos os outros usuários com sessões ativas. **TTPs relacionadas:** [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]], [[t1078-valid-accounts|T1078 - Valid Accounts]], [[t1021-remote-services|T1021.001 - Remote Desktop Protocol]], [[t1548-abuse-elevation-control-mechanism|T1548 - Abuse Elevation Control Mechanism]] ## Contexto LATAM > [!latam] Impacto na América Latina > O Remote Desktop Protocol (RDP) e o Windows RDS são onipresentes na infraestrutura corporativa brasileira - especialmente em PMEs e órgãos governamentais que utilizam servidores Windows para hospedagem de aplicações e acesso remoto. O setor público brasileiro tem histórico de exposições RDP diretas à internet sem proteção adequada, criando superfície de ataque significativa para grupos como APT28. Organizações militares, do setor de defesa e entidades com relações diplomáticas estratégicas devem tratar este patch com prioridade máxima. Recomenda-se verificar exposições RDP com ferramentas como Shodan antes e após a remediação. ## Mitigação 1. **Aplicar Patch Tuesday de fevereiro 2026** imediatamente em todos os sistemas Windows 2. Restringir acesso RDP exclusivamente a redes internas ou VPN corporativa (nunca expor porta 3389 diretamente à internet) 3. Implementar **Network Level Authentication (NLA)** em todos os servidores RDS 4. Aplicar allowlist de IPs para acesso RDP em firewalls de borda 5. Habilitar autenticação multifator (MFA) para sessões RDP via Windows Hello for Business ou soluções de terceiros 6. Monitorar eventos de segurança do Windows: Event ID 4624 (logon), 4625 (falha de logon), 4648 (logon com credenciais explícitas) em servidores RDS 7. Para organizações governamentais: escalar ao [[ctir-gov|CTIR Gov]] se identificada exploração antes do patch **Mitigação MITRE:** [[m1032-multi-factor-authentication|M1032 - Multi-Factor Authentication]], [[m1030-network-segmentation|M1030 - Network Segmentation]], [[m1026-privileged-account-management|M1026 - Privileged Account Management]] ## Referências - [NVD - CVE-2026-21533](https://nvd.nist.gov/vuln/detail/CVE-2026-21533) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Microsoft MSRC - February 2026 Patch Tuesday](https://msrc.microsoft.com/update-guide/) - [BleepingComputer - Microsoft February 2026 Patch Tuesday fixes 6 zero-days](https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2026-patch-tuesday-fixes-6-zero-days-58-flaws/)