Microsoft Windows Kernel Stack-Based Buffer Overflow Vulnerability — Stack-based buffer overflow in the RtlQueryRegistryValues function in win32k.sys in Microsoft Windows allows local users to gain privileges, and bypass the User Account Control (UAC) feature.
A critical stack-based buffer overflow vulnerability exists in the RtlQueryRegistryValues function within win32k.sys of Microsoft Windows kernel. Local authenticated attackers can exploit this flaw to escalate privileges and bypass User Account Control (UAC), gaining SYSTEM-level access. Active exploits exist with no official patch available.
تسمح هذه الثغرة الأمنية الحرجة للمهاجمين المحليين باستغلال خلل في معالجة البيانات داخل دالة RtlQueryRegistryValues في برنامج تشغيل win32k.sys الخاص بنواة ويندوز. يؤدي تجاوز سعة المكدس إلى تنفيذ تعليمات برمجية عشوائية بصلاحيات النظام، متجاوزاً آليات الحماية مثل UAC. تشكل هذه الثغرة خطراً كبيراً على الأنظمة القديمة التي لم يتم تحديثها، حيث يمكن استخدامها كجزء من سلسلة هجمات متقدمة للسيطرة الكاملة على الأنظمة المستهدفة. وجود استغلالات عامة متاحة يزيد من احتمالية استخدامها في هجمات فعلية.
توجد ثغرة حرجة لتجاوز سعة المكدس في دالة RtlQueryRegistryValues ضمن ملف win32k.sys في نواة نظام مايكروسوفت ويندوز. يمكن للمهاجمين المحليين المصادق عليهم استغلال هذه الثغرة للحصول على صلاحيات أعلى وتجاوز ميزة التحكم بحساب المستخدم (UAC)، والوصول إلى مستوى النظام SYSTEM. توجد استغلالات نشطة دون وجود تصحيح رسمي متاح.
1. Immediately identify and inventory all Windows systems running vulnerable kernel versions, prioritizing critical infrastructure and systems handling sensitive data under PDPL requirements
2. Implement compensating controls including strict network segmentation, privileged access management (PAM), endpoint detection and response (EDR) solutions, and enhanced monitoring for suspicious registry operations and privilege escalation attempts
3. Develop and execute a migration plan to upgrade affected systems to supported Windows versions with security patches, or isolate legacy systems in air-gapped environments with strict access controls until replacement is feasible
1. تحديد وجرد جميع أنظمة ويندوز التي تشغل إصدارات النواة المعرضة للخطر فوراً، مع إعطاء الأولوية للبنى التحتية الحرجة والأنظمة التي تتعامل مع البيانات الحساسة وفقاً لمتطلبات نظام حماية البيانات الشخصية
2. تطبيق ضوابط تعويضية تشمل التجزئة الصارمة للشبكة، وإدارة الوصول المميز (PAM)، وحلول الكشف والاستجابة للنقاط الطرفية (EDR)، والمراقبة المعززة للعمليات المشبوهة على السجل ومحاولات رفع الصلاحيات
3. تطوير وتنفيذ خطة ترحيل لترقية الأنظمة المتأثرة إلى إصدارات ويندوز المدعومة مع التصحيحات الأمنية، أو عزل الأنظمة القديمة في بيئات معزولة تماماً مع ضوابط وصول صارمة حتى يصبح الاستبدال ممكناً