CVE-2026-21533: RDP का "फुट-इन-द-डोर" बग जो एक लो-प्रिव उपयोगकर्ता को SYSTEM में बदल देता है।

यह CVE "बस एक और स्थानीय EoP" से क्यों अधिक महत्वपूर्ण है

CVE-2026-21533 को इस प्रकार वर्णित किया गया है विंडोज रिमोट डेस्कटॉप में अनुचित विशेषाधिकार प्रबंधन जो एक को अनुमति देता है अधिकृत आक्रमणकारी को स्थानीय रूप से विशेषाधिकार बढ़ाएँ. (एनवीडीयह तब तक सौम्य लगता है जब तक आप इसे उस जगह नहीं रखते जहाँ हमलावर वास्तव में इसका उपयोग करते हैं:

• के बाद प्रारंभिक पहुँच, जब वे एक मानक उपयोगकर्ता के रूप में आते हैं और उन्हें बनना होता है प्रणाली तेज़ी से।
• पहले वे शोरगुल वाली पार्श्व गतिविधि, प्रमाण-पत्र डंपिंग, या डोमेन संचालन को छूते हैं।
• के साथ उसी पैच चक्र से अन्य "घर्षण-हटाने" वाले बग (सुरक्षा सुविधा बाईपास), जो किसी भी तरह से प्रारंभिक पैर जमाने की संभावना को बढ़ाते हैं। (ब्लिपिंगकंप्यूटर)

माइक्रोसॉफ्ट और कई सुरक्षा विक्रेता रिपोर्ट करते हैं सक्रिय शोषण. Rapid7 और Tenable इसे "शोषण का पता चला" के रूप में सूचीबद्ध करते हैं, और CISA ने इसे इसमें जोड़ा ज्ञात शोषित कमजोरियाँ (KEV) पुनर्निधारण की नियत तारीख के साथ सूची। (रैपिड7)

यदि आप Windows फ़्लीट्स चलाते हैं जहाँ RDP कंपोनेंट्स मौजूद हैं (भले ही RDP इंटरनेट पर एक्सपोज़ न हो), तो इसे एक के रूप में मानें। समझौते के बाद का त्वरकयह "एक फिश किए गए उपयोगकर्ता" और "पूर्ण स्थानीय नियंत्रण" के बीच के समय को कम कर देता है।

सार्वजनिक रूप से क्या पुष्टि की गई है

कोर विवरण और गंभीरता

NVD का विवरण संक्षिप्त है: विंडोज रिमोट डेस्कटॉप में अनुचित विशेषाधिकार प्रबंधन सक्षम करता है स्थानीय एक अधिकृत हमलावर द्वारा विशेषाधिकार वृद्धि। (एनवीडी)

एनवीडी एक सूचीबद्ध करता है CVSS v3.1 वेक्टर: एवी:एल/एसी:एल/पीआर:एल/यूआई:एन/एस:यू/सी:एच/आई:एच/ए:एचव्यावहारिक रूप से: स्थानीय हमला वेक्टर, कम जटिलता, कम विशेषाधिकारों की आवश्यकता, कोई उपयोगकर्ता इंटरैक्शन नहीं, और एक बार शोषित होने पर गोपनीयता/अखंडता/उपलब्धता पर उच्च प्रभाव। (एनवीडी)

सक्रिय शोषण और KEV समयसीमा

NVD स्पष्ट रूप से इंगित करता है कि CVE इसमें है। CISA का KEV सूची, के साथ:

• जोड़ने की तिथि: 2026-02-10
• अंतिम तिथि: 2026-03-03
• आवश्यक कार्रवाई: प्रत्येक विक्रेता के निर्देशों के अनुसार शमन उपाय लागू करें या अनुपलब्ध होने पर उपयोग बंद कर दें (एनवीडी)

वह KEV "अंतिम तिथि" कोई सुझाव नहीं है; यह आपातकालीन परिवर्तन खिड़कियों का बचाव करने के लिए आप जो सबसे स्पष्ट बाहरी औचित्य दे सकते हैं।

शोषण तंत्रों के बारे में क्या रिपोर्ट किया गया है (सीमित लेकिन उपयोगी)

सार्वजनिक रिपोर्टिंग में BleepingComputer द्वारा उद्धृत CrowdStrike के एडम मेयर्स का एक महत्वपूर्ण विवरण शामिल है: एक्सप्लॉइट बाइनरी सेवा विन्यास कुंजी को संशोधित करता है और इसे एक से बदल देता है हमलावर-नियंत्रित कुंजी, विशेषाधिकार वृद्धि को सक्षम करना जो का उपयोग करके एक नया उपयोगकर्ता जोड़ने के लिए किया जा सकता है प्रशासक समूह। (ब्लिपिंगकंप्यूटर)

महत्वपूर्ण सूक्ष्मता: यह कोई पूर्ण तकनीकी विवरण नहीं है, और आपको मान लेना चाहिए कि महत्वपूर्ण विवरण निजी रखे गए हैं। लेकिन वह एक वाक्य रक्षकों को बताता है कि उन्हें कहाँ देखना चाहिए: सेवा विन्यास में छेड़छाड़ और स्थानीय प्रशासक समूह में परिवर्तन.

इस CVE के आसपास के "सबसे अधिक-क्लिक" खोज शब्द

आपने क्लिक-ड्राइविंग वाक्यांशों के लिए पूछा था। मैं यहाँ से Google Search Console का CTR डेटा नहीं देख सकता, लेकिन आप शीर्ष-रैंकिंग कवरेज में बार-बार इस्तेमाल होने वाली हेडलाइन भाषा देखकर विश्वसनीय रूप से पता लगा सकते हैं कि क्या चीज़ क्लिक आकर्षित करती है—क्योंकि वे प्रकाशक एक ही जिज्ञासा + तात्कालिकता के चक्र के लिए ऑप्टिमाइज़ करते हैं।

प्रमुख कवरेज और पैच राउंडअप्स में, जो वाक्यांश सबसे लगातार कहानी को आधार देते हैं, वे हैं:

• "सक्रिय रूप से शोषित" / "जीरो-डे" (तात्कालिकता + वैधता) (ब्लिपिंगकंप्यूटर)
• "विंडोज रिमोट डेस्कटॉप सर्विसेज़" / "आरडीपी" (तत्काल घटक मान्यता) (रैपिड7)
• SYSTEM तक विशेषाधिकार वृद्धि (स्पष्ट परिणाम; सुरक्षा टीमें परिणाम के आधार पर प्राथमिकता निर्धारित करती हैं) (क्रैब्स ऑन सिक्योरिटी)
• "CISA KEV" + एक ठोस समय-सीमा तिथि (ऑपरेशंस टीमें मैंडेट की भाषा की खोज करती हैं) (एनवीडी)
• पैच मंगलवार फरवरी 2026 (साप्ताहिक/मासिक कार्यप्रवाह हुक) (क्रैब्स ऑन सिक्योरिटी)

यदि आप इस लेख को SEO/GEO के लिए अनुकूलित कर रहे हैं, तो उन वाक्यांशों को शीर्षक, परिचय और कम से कम एक शीर्षक में शामिल करना चाहिए—क्योंकि ये उन तरीकों से मेल खाते हैं जिनसे रक्षकों द्वारा समय दबाव में वास्तव में खोज की जाती है।

वास्तविक हमले की श्रृंखला में CVE-2026-21533 की भूमिका

RDP घटक में एक स्थानीय EoP शायद ही कभी "पहला कदम" होता है। यह आमतौर पर कदम 3 या 4:

1. प्रारंभिक पहुँच (फ़िशिंग, टोकन चोरी, शोषण, मैल्वर्टाइजिंग, आदि)
2. मानक उपयोगकर्ता (या कम-अधिकार सेवा संदर्भ) के रूप में लॉग इन करें
3. SYSTEM पर बढ़ाएँ तेज़ी से और चुपचाप
4. स्थायित्व स्थापित करें, क्रेडेंशियल्स डंप करें, पार्श्व रूप से पिवोट करें, रक्षा तंत्र अक्षम करें

CVE-2026-21533 का मान यह है कि चरण (3) बन जाता है अधिक विश्वसनीय और कम शोर वाला गलत कॉन्फ़िगरेशन के साथ काम चलाने या 'लिविंग-ऑफ-द-लैंड' एस्केलेशन प्रयासों की तुलना में, जो आधुनिक बेसलाइन पर अक्सर विफल हो जाते हैं।

सार्वजनिक रूप से रिपोर्ट किया गया सर्विस-कॉन्फ़िग कोण एक सामान्य समझौता-उपरांत पैटर्न का सुझाव देता है: यदि आप किसी विशेषाधिकार प्राप्त सेवा की कॉन्फ़िगरेशन या उसके संदर्भों को बदल सकते हैं, तो आप अक्सर निष्पादन या विश्वास को हमलावर-नियंत्रित इनपुट्स की ओर मोड़ सकते हैं—फिर इसे एडमिन सदस्यता परिवर्तनों या टोकन-स्तर की छलांगों में बदल सकते हैं। (ब्लिपिंगकंप्यूटर)

एक व्यावहारिक प्राथमिकता निर्धारण मॉडल

चरण 1: पैच प्राथमिकता, शोषण की वास्तविकता के आधार पर—श्रेणी लेबलों के आधार पर नहीं।

क्योंकि यह KEV में है और इसे एक्सप्लॉयटेड के रूप में चिह्नित किया गया है, आप इसे उसी प्राथमिकता से संभालते हैं जैसे आप किसी दूरस्थ कोड निष्पादन को संभालेंगे जो क्राउन-ज्वेल सर्वरों को प्रभावित करता हो: शेड्यूल करें, अनुमोदित करें, निष्पादित करें।एनवीडी)

चरण 2: सुधार को साबित करें, यह मानकर न चलें।

स्थानीय EoP बग्स के लिए, सामान्य विफलता मोड है "हमने पैच किया" कुछ "रिंग्स।" आप उच्च-विश्वास प्रमाण चाहते हैं:

• एक डिवाइस एक पैच किए गए बिल्ड पर है (या उसके पास संबंधित संचयी अपडेट है)
• संवेदनशील घटक पथ वास्तव में अपडेट हो गया है।
• पैच विंडो के दौरान टेलीमेट्री कोई पोस्ट-कॉम्प्रोमाइज़ संकेत नहीं दिखाती है।

क्योंकि MSRC पेज जावास्क्रिप्ट द्वारा रेंडर किए जाते हैं और पैच मैपिंग्स विंडोज़ संस्करण/चैनल के अनुसार भिन्न होती हैं, कई टीमें निम्नलिखित का संयोजन उपयोग करती हैं:

• Windows Update अनुपालन रिपोर्टिंग (Intune/ConfigMgr)
• एंडपॉइंट क्वेरी (PowerShell/WMI/रजिस्ट्री बिल्ड नंबर)
• वulnerability scanners (Tenable/Rapid7 plugins उपलब्ध होने पर)

सत्यापन प्लेबुक: उद्यम-सुरक्षित जाँचें जिन्हें आप आज ही चला सकते हैं

नीचे हैं रक्षक-उन्मुख चेक। इनका उद्देश्य मुद्रा (पोस्टुर) को मान्य करना और संदिग्ध परिणामों (सेवा कॉन्फ़िगरेशन में छेड़छाड़ + एडमिन समूह में संशोधन) का पता लगाना है, बिना शोषण निर्देश प्रदान किए।

1) हाल ही में स्थानीय Administrators समूह में हुए परिवर्तनों को खोजें

पावरशेल (स्थानीय मशीन):

# स्थानीय Administrators समूह के सदस्यों को सूचीबद्ध करें (बेसलाइन स्नैपशॉट)
Get-LocalGroupMember -Group "Administrators" |
  Select-Object Name, ObjectClass, PrincipalSource

विंडोज सुरक्षा इवेंट लॉग खोज (केंद्रीकृत):

यदि आपके पास सुरक्षा लॉग एकत्रित हैं, तो स्थानीय समूह सदस्यता परिवर्तनों से संबंधित घटनाओं को देखें। कई वातावरणों में:

• 4728/4729 (सुरक्षा-सक्षम वैश्विक समूह में सदस्य जोड़ा/हटाया गया)
• 4732/4733 (सुरक्षा-सक्षम स्थानीय समूह में सदस्य जोड़ा/हटाया गया)

सटीक इवेंट आईडी नीति और परिवर्तन होने की जगह के आधार पर भिन्न हो सकती हैं, इसलिए किसी परिचित परिवर्तन को लैब में परीक्षण करें और अपने वातावरण की टेलीमेट्री की पुष्टि करें।

2) सेवा कॉन्फ़िगरेशन परिवर्तनों पर नज़र रखें

पावरशेल (सेवाओं की कॉन्फ़िगरेशन तुलना):

# समय के साथ तुलना करने के लिए स्नैपशॉट कुंजी सेवा गुण
Get-CimInstance Win32_Service |
  Select-Object Name, DisplayName, StartMode, State, PathName, ServiceType, StartName |
  Sort-Object Name |
  Export-Csv ".\\services_snapshot.csv" -NoTypeInformation

इसे उच्च-जोखिम वाले एंडपॉइंट्स/सर्वरों पर प्रतिदिन चलाएँ और CSV में अंतर देखें। आप निम्नलिखित में अप्रत्याशित परिवर्तनों की तलाश कर रहे हैं:

• पथनाम (बाइनरी पथ / तर्क)
• नाम प्रारंभ करें (सेवा खाता)
• शुरू करें (वहाँ स्वचालित नहीं जहाँ पहले नहीं था)

3) एंडपॉइंट टेलीमेट्री क्वेरी: संदिग्ध सेवा संशोधन व्यवहार

यदि आप प्रक्रिया निर्माण (उदाहरण के लिए, Sysmon इवेंट ID 1 या Defender for Endpoint डिवाइस प्रक्रिया इवेंट्स) को इनपुट करते हैं, तो निम्नलिखित व्यवहार पैटर्न से शुरुआत करें:

• sc.exe कॉन्फ़िग / sc.exe sdset उपयोग
• reg.exe जोड़ें लक्षित करना HKLM\SYSTEM\CurrentControlSet\Services\*
• सेवा-संबंधित रजिस्ट्री कुंजियों में लिखता है, जिसके बाद एडमिन समूह में संशोधन किए जाते हैं।

यह जानबूझकर व्यापक रखा गया है: आपका लक्ष्य व्यवहार की उस श्रेणी को पकड़ना है, भले ही विशिष्ट शोषण बदल जाए।

डिटेक्शन सामग्री: एक स्टार्टर सिग्मा जिसे आप अनुकूलित कर सकते हैं

यह एक है आरंभिक बिंदु, ड्रॉप-इन गारंटी नहीं है। इसे अपने लॉग स्रोत (Sysmon, EDR, Windows नेटिव) के अनुसार ट्यून करें।

शीर्षक: संदिग्ध सेवा विन्यास परिवर्तन जिसके बाद स्थानीय प्रशासक संशोधन
आईडी: 7b0d7d5b-2f2b-4f6b-9f7a-0a9c6b9f2c33
स्थिति: प्रयोगात्मक
विवरण: संदिग्ध सेवा विन्यास/रजिस्ट्री संशोधनों का पता लगाता है, जिनका उपयोग अक्सर समझौता-पश्चात विशेषाधिकार वृद्धि श्रृंखलाओं में किया जाता है, साथ ही स्थानीय प्रशासक समूह परिवर्तनों का भी पता लगाता है।
लेखक: SOC इंजीनियरिंग
दिनांक: 2026/02/16
संदर्भ:
  - 
  - 
टैग:
  - attack.privilege_escalation
  - attack.persistence
logsource:
  product: windows
  category: process_creation
detection:
  selection_tools:
    Image|endswith:
 - '\\sc.exe'
 - '\\reg.exe'
 - '\\net.exe'
      - '\\net1.exe'
  selection_sc:
    CommandLine|contains:
 - ' config '
 - ' sdset '
 - ' failure '
  selection_reg:
    CommandLine|contains:
 - 'HKLM\\SYSTEM\\CurrentControlSet\\Services\\'
  selection_net_localgroup:
    CommandLine|contains:
 - ' localgroup '
 - ' Administrators '
 - ' /add'
  condition: selection_tools and (selection_sc or selection_reg or selection_net_localgroup)
falsepositives:
  - वैध एडमिन / आईटी ऑटोमेशन टूल्स
  - सॉफ्टवेयर डिप्लॉयमेंट स्क्रिप्ट्स
level: medium

यह विशेष रूप से CVE-2026-21533 के लिए क्यों मदद करता है: सार्वजनिक रिपोर्टिंग इंगित करती है सेवा विन्यास कुंजी संशोधन साथ ही विशेषाधिकार वृद्धि के परिणाम जैसे कि एक स्थानीय एडमिन उपयोगकर्ता जोड़ना।ब्लिपिंगकंप्यूटर)

पैच ट्यूज़डे संदर्भ: संबंधित CVEs जिन्हें आपको उल्लेख करना चाहिए

CVE-2026-21533 अकेले नहीं आया। फरवरी 2026 पैच ट्यूज़डे कवरेज इसे बार-बार पाँच अन्य सक्रिय रूप से शोषित कमजोरियों के साथ समूहबद्ध करता है। यह परिचालनात्मक रूप से महत्वपूर्ण है क्योंकि हमलावर "एक CVE" नहीं चलाते। वे एक श्रृंखला चलाते हैं।

व्यापक रूप से उद्धृत फरवरी 2026 के राउंडअप्स से, शोषित सेट में शामिल हैं:

यदि आप हितधारकों के लिए एक सुधार कथा तैयार कर रहे हैं: स्थिति 21533 को के रूप में प्रस्तुत करें समझौते के बाद का एक्सेलेरेटर एक व्यापक महीने के भीतर जहाँ कई बग या तो प्रारंभिक पहुँच संभावना बढ़ाएँ (बाईपास करता है) या पहुँच के बाद क्षमता बढ़ाएँ (EoP). (रैपिड7)

कठोरता बढ़ाने वाली क्रियाएँ जो पुनरावृत्ति को कम करती हैं।

पैचिंग ज्ञात खामी को बंद कर देती है। हार्डनिंग इस संभावना को कम करती है कि उसी श्रेणी की अगली बग विनाशकारी बन जाए।

1. स्थानीय एडमिन फैलाव को कम करें। यदि उपयोगकर्ता नियमित रूप से एडमिन के रूप में चलते हैं, तो विशेषाधिकार उन्नयन संबंधी बग्स कम मायने रखते हैं। स्थानीय एडमिन सदस्यता को सख्त करें, जहाँ संभव हो JIT/JEA पैटर्न अपनाएँ।
2. ऑडिट सेवा संशोधन अधिकार कई एस्केलेशन श्रृंखलाएँ इस बात पर निर्भर करती हैं कि कौन सेवा कॉन्फ़िगरेशन या सेवा रजिस्ट्री कुंजियाँ लिख सकता है। संवेदनशील सेवाओं पर अनुमतियों की नियमित रूप से समीक्षा करें और विचलन पर नजर रखें।
3. "RDP मौजूद" को "RDP नियंत्रित" में बदलें। भले ही आप RDP को बाहरी रूप से सार्वजनिक न करें, सुनिश्चित करें कि RDP-संबंधित घटक और नीतियाँ आपके मानक आधारभूत मानदंड का हिस्सा हों: लॉगिंग, EDR कवरेज, अपडेट रिंग्स, और कॉन्फ़िगरेशन नियंत्रण।
4. KEV को एक SLO के रूप में लें, न कि एक हेडलाइन के रूप में। KEV प्रविष्टियाँ एक ठोस संचालन SLA बनाती हैं: निर्धारित तिथि तक पैच करें, अनुपालन साबित करें, फिर ऑडिट के लिए साक्ष्य रखें।एनवीडी)

यदि आपकी टीम पेनलिजेंट का उपयोग AI-सहायक पेनटेस्टिंग और सत्यापन वर्कफ़्लो के रूप में करती है, तो CVE-2026-21533 उस समस्या के लिए एक स्पष्ट उपयोग मामला है जिससे अधिकांश भेद्यता कार्यक्रम जूझते हैं:

• "patch now" का अनुवाद मशीन-सत्यापनीय साक्ष्य कि डिवाइस अब और उजागर नहीं हैं,
• यह सत्यापित करना कि सामान्य समझौता-उपरांत संकेत (सेवा में छेड़छाड़, स्थानीय प्रशासक का निर्माण) का पता लगाया जा रहा है और उन्हें अग्रेषित किया जा रहा है,
• एक ऐसा दोहराया जा सकने वाला रिपोर्ट तैयार करना जिस पर सुरक्षा, आईटी और नेतृत्व सभी हस्ताक्षर कर सकें।

दूसरे शब्दों में: "ज़्यादा स्कैन करें" नहीं, बल्कि मरम्मत साबित करो और निगरानी साबित करें—विशेषकर जब केईवी की समय-सीमाएँ संकुचित समय-सारिणी को मजबूर करती हैं।

यदि आप Penligent की अपनी लाइब्रेरी से फरवरी 2026 के एक्सप्लॉयटेड क्लस्टर (फीचर बायपास और वास्तविक दुनिया के पैच वर्कफ़्लो फ्रेमिंग) पर संबंधित संदर्भ चाहते हैं, तो अंत में दिए गए आंतरिक लिंक सबसे प्रासंगिक हैं।

संसाधन

• एनवीडी — सीवीई-2026-21533: https://nvd.nist.gov/vuln/detail/CVE-2026-21533 (एनवीडी)
• सीवीई डॉट ऑर्ग रिकॉर्ड — CVE-2026-21533: https://www.cve.org/CVERecord?id=CVE-2026-21533 (सीवीई)
• CISA अलर्ट (KEV जोड़, CVE-2026-21533 शामिल): https://www.cisa.gov/news-events/alerts/2026/02/10/cisa-adds-six-known-exploited-vulnerabilities-catalog (सीआईएसए)
• CISA KEV कैटलॉग (खोजने योग्य): https://www.cisa.gov/known-exploited-vulnerabilities-catalog (सीआईएसए)
• ब्लिपिंगकंप्यूटर — फरवरी 2026 पैच ट्यूज़डे (सर्विस कॉन्फ़िग की संशोधन के बारे में क्राउडस्ट्राइक के उद्धरण सहित): https://www.bleepingcomputer.com/news/microsoft/microsoft-february-2026-patch-tuesday-fixes-6-zero-days-58-flaws/ (ब्लिपिंगकंप्यूटर)
• Rapid7 — पैच ट्यूज़डे फरवरी 2026 (टेबल + शोषण फ़्लैग): https://www.rapid7.com/blog/post/em-patch-tuesday-february-2026/ (रैपिड7)
• टेनेबल — फरवरी 2026 पैच ट्यूज़डे कवरेज (CVE-2026-21533 नोट्स सहित): https://www.tenable.com/blog/microsofts-february-2026-patch-tuesday-addresses-54-cves-cve-2026-21510-cve-2026-21513 (उपयुक्त®)
• CrowdStrike — पैच ट्यूज़डे विश्लेषण (सक्रिय शोषण का उल्लेख; श्रेय/आपात्रता संदर्भ): https://www.crowdstrike.com/en-us/blog/patch-tuesday-analysis-february-2026/ (क्राउडस्ट्राइक)
• ZDI — फरवरी 2026 सुरक्षा अपडेट समीक्षा (संरचित CVE सूची): https://www.thezdi.com/blog/2026/2/10/the-february-2026-security-update-review (ज़ीरो डे इनिशिएटिव)
• सोफोस — फरवरी पैच ट्यूज़डे अवलोकन: https://www.sophos.com/en-us/blog/februarys-patch-tuesday-assumes-battle-stations (सोफोस)
• KrebsOnSecurity — पैच ट्यूज़डे फरवरी 2026 संस्करण: https://krebsonsecurity.com/2026/02/patch-tuesday-february-2026-edition/ (क्रैब्स ऑन सिक्योरिटी)
• CVE-2026-21510 (विंडोज़ शेल बाईपास) — पेनलिजेंट: https://www.penligent.ai/hackinglabs/cve-2026-21510-poc-the-smartscreen-moment-that-never-happens/ (पेनलिजेंट)
• CVE-2026-21509 (ऑफ़िस ज़ीरो-डे संदर्भ) — पेनलिजेंट: https://www.penligent.ai/hackinglabs/microsoft-patches-office-zero-day-cve-2026-21509-exploited-in-the-wild/ (पेनलिजेंट)
• CVE 2026 परिदृश्य संक्षिप्त अवलोकन — पेनलिजेंट: https://www.penligent.ai/hackinglabs/cve-2026-the-vulnerability-landscape-when-identity-breaks-and-legacy-code-bites-back/ (पेनलिजेंट)