الثغرات ›

CVE-2021-31956

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح

Microsoft Windows NTFS Privilege Escalation Vulnerability — Microsoft Windows New Technology File System (NTFS) contains an unspecified vulnerability that allows attackers to escalate privileges via a

                    نُشر: Nov 3, 2021                                          ·  المصدر: CISA_KEV                

CVSS v3

9.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

🤖 ملخص AI

CVE-2021-31956 is a critical privilege escalation vulnerability in Microsoft Windows NTFS with a CVSS score of 9.0. An attacker can exploit this flaw through a specially crafted application to escalate privileges from a low-privileged user to SYSTEM level. With public exploits available, this vulnerability poses an immediate and severe threat to all Windows-based systems across Saudi organizations.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 20, 2026 19:37

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability affects all Saudi organizations using Windows systems, with critical impact on: Banking sector (SAMA-regulated institutions, payment processing systems), Government agencies (NCA, ministries), Healthcare providers (SEHA, private hospitals), Energy sector (ARAMCO, utilities), Telecommunications (STC, Mobily, Zain), and Critical Infrastructure operators. The privilege escalation capability enables attackers to gain complete system control, potentially leading to data theft, ransomware deployment, and operational disruption across these critical sectors.

🏢 القطاعات السعودية المتأثرة

Banking and Financial Services Government and Public Administration Healthcare and Medical Services Energy and Utilities Telecommunications Critical Infrastructure Defense and Security Education

🎯 تقنيات MITRE ATT&CK

T1548 — Abuse Elevation Control Mechanism T1548.004 — Elevated Execution with Prompt T1134 — Access Token Manipulation T1547 — Boot or Logon Autostart Execution T1543 — Create or Modify System Process T1574 — Hijack Execution Flow

⚖️ درجة المخاطر السعودية (AI)

9.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Prioritize patching all Windows systems immediately — this is a critical vulnerability with active exploits

2. Apply Microsoft security updates KB5003637 (Windows 10/11) or equivalent patches for your Windows version

3. Implement application whitelisting to prevent execution of suspicious applications

4. Restrict user account privileges — ensure users operate with minimal necessary permissions

5. Monitor for suspicious process creation and privilege escalation attempts



DETECTION RULES:

- Monitor for unusual NTFS operations and file system access patterns

- Alert on processes attempting to modify system files or registry with elevated privileges

- Track creation of suspicious scheduled tasks or services

- Monitor for unexpected SYSTEM-level process spawning from user applications



COMPENSATING CONTROLS (if patching delayed):

- Disable NTFS compression features if not required

- Implement strict application control policies

- Increase logging and monitoring of file system operations

- Isolate critical systems from untrusted networks

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. أولويات تصحيح جميع أنظمة Windows فوراً — هذه ثغرة حرجة مع استغلالات نشطة

2. تطبيق تحديثات أمان Microsoft KB5003637 (Windows 10/11) أو التصحيحات المكافئة لإصدار Windows الخاص بك

3. تنفيذ قائمة بيضاء للتطبيقات لمنع تنفيذ التطبيقات المريبة

4. تقييد امتيازات حسابات المستخدمين — تأكد من أن المستخدمين يعملون بأقل صلاحيات ضرورية

5. مراقبة محاولات تصعيد الامتيازات والعمليات المريبة



قواعد الكشف:

- مراقبة عمليات NTFS غير العادية وأنماط الوصول إلى نظام الملفات

- تنبيهات على العمليات التي تحاول تعديل ملفات النظام أو السجل برفع الامتيازات

- تتبع إنشاء المهام المجدولة أو الخدمات المريبة

- مراقبة توليد عمليات SYSTEM غير المتوقعة من تطبيقات المستخدم



الضوابط البديلة (إذا تأخر التصحيح):

- تعطيل ميزات ضغط NTFS إذا لم تكن مطلوبة

- تنفيذ سياسات تحكم صارمة في التطبيقات

- زيادة تسجيل ومراقبة عمليات نظام الملفات

- عزل الأنظمة الحرجة عن الشبكات غير الموثوقة

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.5.1.1 — Access Control Policies ECC 2024 A.5.2.1 — User Registration and De-registration ECC 2024 A.5.3.1 — Management of Privileged Access Rights ECC 2024 A.8.2.1 — User Endpoint Devices ECC 2024 A.8.3.1 — Information Backup

🔵 SAMA CSF

SAMA CSF ID.AM-2 — Software Inventory SAMA CSF PR.AC-1 — Access Control Policy SAMA CSF PR.AC-4 — Access Rights Management SAMA CSF DE.CM-1 — System Monitoring SAMA CSF RS.MI-1 — Incident Response Procedures

🟡 ISO 27001:2022

ISO 27001:2022 A.5.15 — Access Control ISO 27001:2022 A.5.16 — Identification and Authentication ISO 27001:2022 A.8.1 — User Endpoint Devices ISO 27001:2022 A.8.2 — Privileged Access Rights ISO 27001:2022 A.8.3 — Information Backup

🟣 PCI DSS v4.0

PCI DSS 2.1 — Configuration Standards PCI DSS 6.2 — Security Patches PCI DSS 7.1 — Limit Access to System Components PCI DSS 10.2 — Implement Automated Audit Trails

🔗 المراجع والمصادر 0

لا توجد مراجع.

📦 المنتجات المتأثرة 1 منتج

Microsoft:Windows

📊 CVSS Score

9.0

/ 10.0 — حرج

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.0

EPSS88.71%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

CISA KEV🇺🇸 Yes

تاريخ الإصلاح2021-11-17

تاريخ النشر 2021-11-03

المصدر cisa_kev

المشاهدات 3

🇸🇦 درجة المخاطر السعودية

9.2

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

kev actively-exploited

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2021-31956

عرّفنا بنفسك

تسجيل الدخول مطلوب