CVE-2026-21533

Microsoft Windows

ВЕРОЯТНОСТЬ 5.0%
Дата обнаружения

2026-02-10

Официальное описание

Microsoft Windows Remote Desktop Services contains an improper privilege management vulnerability that could allow an authorized attacker to elevate privileges locally.

🛡️
Технический анализ и план устранения

Суть уязвимости

  • Уязвимость CVE-2026-21533 затрагивает службу удаленных рабочих столов (Remote Desktop Services, RDS) в операционных системах Microsoft Windows.
  • Коренная причина уязвимости кроется в некорректном управлении привилегиями (Improper Privilege Management) при обработке локальных запросов или сессий.
  • Локально авторизованный пользователь (имеющий базовый доступ к системе) может проэксплуатировать этот недостаток для повышения своих привилегий до максимального уровня (NT AUTHORITY\SYSTEM).
  • Успешная эксплуатация позволяет злоумышленнику получить полный контроль над операционной системой: выполнять произвольный код с системными правами, изменять критические настройки, отключать средства защиты и закрепляться в инфраструктуре.

Как исправить

  • Единственным гарантированным способом устранения уязвимости является установка официального кумулятивного обновления безопасности (Security Update) от Microsoft, выпущенного в рамках Patch Tuesday.
  • Откройте Центр обновления Windows (Windows Update) и выполните поиск последних обновлений.
  • Дождитесь загрузки и установки патча, после чего обязательно выполните перезагрузку сервера или рабочей станции.
  • Если вы используете WSUS или SCCM, убедитесь, что пакет обновлений одобрен для целевых групп компьютеров.
  • Для проверки успешной установки конкретного патча (замените KBXXXXXXX на актуальный номер из бюллетеня Microsoft) используйте следующую команду:
Get-HotFix -Id KBXXXXXXX

Временные меры

  • Если немедленная установка обновления невозможна (например, требуется окно обслуживания), примените следующие компенсирующие контроли:
  • Отключение службы RDS. Если удаленный доступ к узлу не является критически важным для бизнес-процессов, полностью остановите и отключите службу TermService:
Stop-Service -Name TermService -Force


Set-Service -Name TermService -StartupType Disabled
  • Ограничение доступа. Если RDP необходим, строго ограничьте список лиц, имеющих право на локальный или удаленный вход. Удалите непривилегированных пользователей из группы "Пользователи удаленного рабочего стола" (Remote Desktop Users):
Remove-LocalGroupMember -Group "Remote Desktop Users" -Member "Имя_Пользователя"
  • Сетевая изоляция. Заблокируйте входящие подключения по порту 3389 на уровне брандмауэра Windows для всех профилей, оставив доступ только с выделенных IP-адресов администраторов (Jump Hosts):
Disable-NetFirewallRule -DisplayGroup "Remote Desktop"
  • Усиленный мониторинг. Настройте правила в вашей EDR/SIEM системе для отслеживания аномальной активности. Обращайте особое внимание на процессы svchost.exe (хостящие службу RDS), которые пытаются запустить командные оболочки (cmd.exe, powershell.exe) или неизвестные исполняемые файлы с правами SYSTEM.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей