1. Alertas de Seguridad
  2. Vulnerabilidad CVE-2026-21533 Escalada de Privilegios en Windows Remote Desktop Services.

Vulnerabilidad CVE-2026-21533 Escalada de Privilegios en Windows Remote Desktop Services.

Fecha de publicación: Mié, 11/02/2026 - 10:01

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

Se ha identificado una vulnerabilidad crítica de Escalada de Privilegios Local (Local Privilege Escalation) asignada como CVE-2026-21533, la cual afecta a múltiples versiones soportadas de Microsoft Windows. El fallo reside en la gestión inadecuada de privilegios (CWE-269) dentro del servicio de Escritorio Remoto de Windows (Remote Desktop Services).

Esta vulnerabilidad permite que un atacante con acceso local previo con privilegios bajos, como un usuario estándar, eleve sus permisos a nivel de SYSTEM o Administrador sin requerir interacción del usuario. Aunque el vector de ataque es local, el impacto en la confidencialidad, integridad y disponibilidad es alto, pudiendo derivar en el compromiso total del host afectado.

Recursos Afectados

  • Sistema Operativo: 

    • Windows 10 22H2 

    • Windows 11 22H2 incluyendo versiones 23H2 y posteriores,

    • Windows Server 2019,

    • Windows Server 2022.

  • Componente: Servicios de Escritorio Remoto (TermService / RDP).

Solución

Microsoft ha publicado una actualización de seguridad en el Patch Tuesday de febrero de 2026 que corrige la vulnerabilidad CVE-2026-21533 en los sistemas Windows afectados. Se recomienda aplicar inmediatamente las actualizaciones de seguridad correspondientes a cada versión de Windows en su entorno

Mitigación

En escenarios donde el parcheo inmediato no sea viable, se deben aplicar las siguientes medidas de endurecimiento:

  • Restricción de Acceso: Limitar estrictamente los permisos de inicio de sesión a través de Servicios de Escritorio Remoto solo a grupos de usuarios esenciales.

  • Control de Sesiones: Reducir la exposición de cuentas con bajos privilegios en sistemas RDS, aplicando políticas de "mínimo privilegio" para evitar que procesos de usuario interactúen con servicios de sistema vulnerables.

  • Aislamiento: Implementar segmentación de red para evitar que un compromiso local en un endpoint se convierta en un punto de salto hacia la infraestructura crítica.

Indicadores de Compromiso (IoCs) y Detección

Dado que es una explotación local, la detección debe centrarse en el comportamiento anómalo dentro del host:

  • Eventos de Windows (Event Viewer):

    • Monitorear Event ID 4688 Creación de procesos): busque procesos secundarios inusuales generados por svchost.exe (asociados con Terminal Services) que se ejecutan con privilegios NT AUTHORITY\SYSTEM.

    • Monitorear Event ID 4672 (Privilegios especiales asignados): Identificar la asignación inesperada de privilegios elevados a cuentas que normalmente no los poseen, especialmente cuando usuarios estándar reciben privilegios administrativos como SeDebugPrivilege o SeImpersonatePrivilege.

  • Comportamiento de Procesos:

    • Inyecciones de código en procesos que cargan termsrv.dll, como svchost.exe que hospeda el servicio de Terminal Services.

Recomendaciones Generales

  • Aplicar las actualizaciones del "Patch Tuesday" de Microsoft.
  • Intensificar la vigilancia en el SIEM/XDR sobre los segmentos de red que utilizan RDP intensivamente.
  • Auditar configuraciones en Azure y Office 365 para asegurar que este vector local no se convierta en un punto de pivote para movimientos laterales en la nube.

Referencias