El 10 de febrer de 2026, dins del Patch Tuesday d’aquell mes, Microsoft va corregir CVE-2026-21533, una vulnerabilitat d’elevació de privilegis a Windows Remote Desktop Services (RDS). Quan es va publicar el pedaç ja s’estava explotant de manera activa, així que entra de ple a la categoria de zero-day: els atacants la feien servir en atacs reals abans que hi hagués una correcció oficial.
Què és la vulnerabilitat
La fallada està classificada sota CWE-269 (gestió incorrecta de privilegis) i té a veure amb com Windows Remote Desktop Services gestiona la configuració del servei que guarda al registre de Windows. Un atacant local i amb privilegis baixos pot tocar les claus del registre que controlen la configuració de RDS per afegir usuaris al grup d’Administradors i, des d’aquí, escalar fins als privilegis de SYSTEM, el nivell de control més alt sobre el sistema operatiu.
Microsoft li assigna una puntuació CVSS de 7.8, gravetat alta. El matís importa: no és una vulnerabilitat d’execució remota que permeti entrar en una màquina des d’Internet. Cal que l’atacant ja tingui accés local amb privilegis baixos al sistema. El seu valor rau en la fase de post-explotació. Un cop dins amb un compte limitat, serveix per prendre el control total del servidor.
A qui afecta
Afecta sistemes Windows amb el rol de Remote Desktop Services actiu, sobretot entorns de Windows Server on RDS s’utilitza per a sessions remotes, escriptoris virtuals o publicació d’aplicacions. Són objectius llaminers: solen ser multiusuari, concentren moltes sessions i donen accés a un munt d’empleats, cosa que multiplica les oportunitats que un atacant obtingui primer un punt de suport de privilegis baixos.
Segons la informació publicada, se’n va observar l’explotació real contra entitats dels Estats Units i el Canadà des d’almenys el 24 de desembre de 2025. Això vol dir que la vulnerabilitat es va estar aprofitant durant setmanes abans que aparegués el pedaç.
Gravetat real
La puntuació CVSS de 7.8 no arriba al rang crític, però a la pràctica resulta força perillosa per diversos motius:
- Explotació activa confirmada abans de la publicació del pedaç (zero-day).
- Permet escalar d’un compte limitat a SYSTEM, eliminant qualsevol barrera d’aïllament de privilegis.
- Encaixa molt bé en cadenes d’atac: combinada amb un accés inicial (phishing, credencials robades, una altra vulnerabilitat), converteix un compromís menor en un control total.
En servidors d’escriptori remot, on l’accés de privilegis baixos és habitual per disseny, una fallada així posa els pèls de punta.
Mitigació i pedaç
El primer és aplicar les actualitzacions de seguretat de Microsoft del Patch Tuesday de febrer de 2026, que arreglen el comportament defectuós de RDS en gestionar la configuració del registre. Algunes recomanacions més:
- Prioritzar el pedaç en servidors Windows Server amb el rol RDS exposats o molt utilitzats.
- Restringir i auditar els permisos sobre les claus de registre de la configuració de RDS.
- Aplicar el principi de mínim privilegi: limitar quins comptes tenen accés local interactiu als servidors.
- Vigilar altes inesperades al grup d’Administradors i canvis sospitosos al registre.
Si vols entendre millor per què l’elevació a SYSTEM és tan crítica i com el control d’accés obligatori redueix l’impacte d’aquest tipus de fallades, et pot interessar la nostra comparativa de models de seguretat a SELinux i AppArmor.
Per aprofundir en el sistema afectat, consulta la fitxa del sistema: Windows Server.
Font
- MSRC — Microsoft Security Update Guide: https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2026-21533
- NVD — NIST National Vulnerability Database: https://nvd.nist.gov/vuln/detail/CVE-2026-21533