El 10 de febrero de 2026, dentro del Patch Tuesday de ese mes, Microsoft corrigió CVE-2026-21533, una vulnerabilidad de elevación de privilegios en Windows Remote Desktop Services (RDS). Cuando salió el parche ya se estaba explotando de forma activa, así que entra de lleno en la categoría de zero-day: los atacantes la usaban en ataques reales antes de que hubiera una corrección oficial.
Qué es la vulnerabilidad
El fallo está clasificado bajo CWE-269 (gestión incorrecta de privilegios) y tiene que ver con cómo Windows Remote Desktop Services maneja la configuración del servicio que guarda en el registro de Windows. Un atacante local y con bajos privilegios puede tocar las claves del registro que controlan la configuración de RDS para añadir usuarios al grupo de Administradores y, desde ahí, escalar hasta los privilegios de SYSTEM, el nivel de control más alto sobre el sistema operativo.
Microsoft le asigna una puntuación CVSS de 7.8, gravedad alta. El matiz importa: no es una vulnerabilidad de ejecución remota que permita entrar en una máquina desde Internet. Hace falta que el atacante ya tenga acceso local con privilegios bajos en el sistema. Su valor está en la fase de post-explotación. Una vez dentro con una cuenta limitada, sirve para tomar el control total del servidor.
A quién afecta
Afecta a sistemas Windows con el rol de Remote Desktop Services activo, sobre todo entornos de Windows Server donde RDS se usa para sesiones remotas, escritorios virtuales o publicación de aplicaciones. Son objetivos golosos: suelen ser multiusuario, concentran muchas sesiones y dan acceso a un montón de empleados, lo que multiplica las oportunidades de que un atacante consiga primero un punto de apoyo de bajos privilegios.
Según la información publicada, su explotación real se observó contra entidades de Estados Unidos y Canadá desde al menos el 24 de diciembre de 2025. Eso significa que la vulnerabilidad estuvo siendo aprovechada durante semanas antes de que apareciera el parche.
Gravedad real
La puntuación CVSS de 7.8 no llega al rango crítico, pero en la práctica resulta bastante peligrosa por varios motivos:
- Explotación activa confirmada antes de la publicación del parche (zero-day).
- Permite escalar de una cuenta limitada a SYSTEM, eliminando cualquier barrera de aislamiento de privilegios.
- Encaja muy bien en cadenas de ataque: combinada con un acceso inicial (phishing, credenciales robadas, otra vulnerabilidad), convierte un compromiso menor en un control total.
En servidores de escritorio remoto, donde el acceso de bajos privilegios es lo normal por diseño, un fallo así pone los pelos de punta.
Mitigación y parche
Lo primero es aplicar las actualizaciones de seguridad de Microsoft del Patch Tuesday de febrero de 2026, que arreglan el comportamiento defectuoso de RDS al gestionar la configuración del registro. Algunas recomendaciones más:
- Priorizar el parcheo en servidores Windows Server con el rol RDS expuestos o muy usados.
- Restringir y auditar los permisos sobre las claves de registro de la configuración de RDS.
- Aplicar el principio de mínimo privilegio: limitar qué cuentas tienen acceso local interactivo a los servidores.
- Vigilar altas inesperadas en el grupo de Administradores y cambios sospechosos en el registro.
Si quieres entender mejor por qué la elevación a SYSTEM es tan crítica y cómo el control de acceso obligatorio reduce el impacto de este tipo de fallos, te puede interesar nuestra comparativa de modelos de seguridad en SELinux y AppArmor.
Para profundizar en la vulnerabilidad puedes consultar la ficha del sistema afectado: Windows Server.
Fuente
- MSRC — Microsoft Security Update Guide: https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2026-21533
- NVD — NIST National Vulnerability Database: https://nvd.nist.gov/vuln/detail/CVE-2026-21533