Vulnerabilities ›

CVE-2011-2005

Critical 🇺🇸 CISA KEV ⚡ Exploit Available

Microsoft Ancillary Function Driver Privilege Escalation Vulnerability (CVE-2011-2005)

                    Published: Mar 28, 2022                                          ·  Source: CISA_KEV                

CVSS v3

9.0

🔗 NVD Official

📄 Description (English)

Microsoft Ancillary Function Driver (afd.sys) Improper Input Validation Vulnerability — afd.sys in the Ancillary Function Driver in Microsoft Windows does not properly validate user-mode input passed to kernel mode, which allows local users to gain privileges via a crafted application.

🤖 AI Executive Summary

Microsoft Ancillary Function Driver (afd.sys) contains a critical input validation vulnerability allowing local attackers to escalate privileges to kernel level through crafted applications. With a CVSS score of 9.0 and confirmed exploits available, this legacy Windows kernel vulnerability poses significant risk to unpatched systems despite its age.

📄 Description (Arabic)

تؤثر هذه الثغرة الأمنية على برنامج تشغيل الوظائف المساعدة (afd.sys) في نظام ويندوز، حيث يفشل في التحقق بشكل صحيح من المدخلات القادمة من وضع المستخدم قبل معالجتها في وضع النواة. يمكن للمهاجم المحلي استغلال هذا الضعف من خلال تطبيق مصمم خصيصاً لتمرير بيانات ضارة إلى النواة، مما يؤدي إلى رفع الصلاحيات والحصول على تحكم كامل بالنظام. تعتبر هذه الثغرة خطيرة بشكل خاص لأنها تستهدف مكون أساسي في نواة نظام التشغيل ويوجد لها استغلالات عملية موثقة. على الرغم من أن الثغرة قديمة نسبياً، إلا أن الأنظمة غير المحدثة تبقى عرضة للاستغلال في هجمات متقدمة مستمرة.

🤖 ملخص تنفيذي (AI)

يحتوي برنامج تشغيل الوظائف المساعدة من مايكروسوفت (afd.sys) على ثغرة حرجة في التحقق من صحة المدخلات تسمح للمهاجمين المحليين برفع الصلاحيات إلى مستوى النواة من خلال تطبيقات مصممة خصيصاً. مع درجة خطورة 9.0 ووجود استغلالات مؤكدة، تشكل هذه الثغرة القديمة في نواة ويندوز خطراً كبيراً على الأنظمة غير المحدثة رغم قدمها.

🤖 AI Intelligence Analysis Analyzed: Feb 28, 2026 09:17

🇸🇦 Saudi Arabia Impact Assessment

Saudi organizations running legacy Windows systems without proper patch management face critical risk from this kernel-level privilege escalation vulnerability. Attackers with initial access could leverage this exploit to gain SYSTEM-level privileges, compromising sensitive government, financial, and critical infrastructure systems, particularly in environments where older Windows versions remain operational.

🏢 Affected Saudi Sectors

القطاع الحكومي القطاع المالي والمصرفي البنية التحتية الحرجة قطاع الطاقة والمرافق قطاع الاتصالات وتقنية المعلومات قطاع الرعاية الصحية القطاع التعليمي

🎯 MITRE ATT&CK Techniques

T1068 T1078 T1134 T1543.003 T1055

⚖️ Saudi Risk Score (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

1. Immediately identify and inventory all Windows systems running vulnerable versions and prioritize patching with Microsoft security updates MS11-046 or later that address CVE-2011-2005

2. Implement application whitelisting and least privilege access controls to prevent execution of unauthorized applications that could exploit kernel vulnerabilities

3. Deploy endpoint detection and response (EDR) solutions with behavioral monitoring to detect privilege escalation attempts and isolate affected systems, while accelerating migration from legacy Windows versions to supported operating systems

🔧 خطوات المعالجة (العربية)

1. تحديد وجرد جميع أنظمة ويندوز التي تشغل الإصدارات المعرضة للخطر فوراً وإعطاء الأولوية لتطبيق تحديثات الأمان من مايكروسوفت MS11-046 أو الأحدث التي تعالج الثغرة CVE-2011-2005

2. تطبيق قوائم التطبيقات المسموحة وضوابط الوصول بأقل الصلاحيات لمنع تنفيذ التطبيقات غير المصرح بها التي قد تستغل ثغرات النواة

3. نشر حلول الكشف والاستجابة للنقاط الطرفية (EDR) مع المراقبة السلوكية لاكتشاف محاولات رفع الصلاحيات وعزل الأنظمة المتأثرة، مع تسريع الانتقال من إصدارات ويندوز القديمة إلى أنظمة التشغيل المدعومة

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

ECC-1-2 (Vulnerability Management) ECC-2-1 (Operating System Hardening) ECC-3-1 (System and Network Monitoring) ECC-5-1 (Patch Management)

🔵 SAMA CSF

TVM-01 (Vulnerability Assessment and Management) OPS-02 (Change Management and Patching) SEC-04 (Security Monitoring and Analysis) RES-01 (Incident Response Planning)

🟡 ISO 27001:2022

A.12.6.1 (Management of Technical Vulnerabilities) A.12.2.1 (Controls Against Malware) A.9.2.3 (Management of Privileged Access Rights) A.12.6.2 (Restrictions on Software Installation)

🔗 References & Sources 0

No references.

📦 Affected Products / CPE 1 entries

Microsoft:Ancillary Function Driver (afd.sys)

📊 CVSS Score

9.0

/ 10.0 — Critical

📋 Quick Facts

Severity Critical

CVSS Score9.0

EPSS67.09%

Exploit ✓ Yes

Patch ✓ Yes

CISA KEV🇺🇸 Yes

KEV Due Date2022-04-18

Published 2022-03-28

Source Feed cisa_kev

🇸🇦 Saudi Risk Score

9.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

kev actively-exploited

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2011-2005

Introduce Yourself

Sign In Required