Microsoft Windows Kernel Exception Handler Vulnerability — The kernel in Microsoft Windows, when access to 16-bit applications is enabled on a 32-bit x86 platform, does not properly validate certain BIOS calls, which allows local users to gain privileges.
A critical privilege escalation vulnerability exists in Microsoft Windows kernel affecting 32-bit x86 platforms with 16-bit application support enabled. Local attackers can exploit improper BIOS call validation to gain SYSTEM-level privileges. Active exploits exist in the wild with no official patch available.
تسمح هذه الثغرة الأمنية في معالج الاستثناءات بنواة ويندوز للمستخدمين المحليين بتصعيد صلاحياتهم إلى مستوى SYSTEM من خلال استغلال التحقق غير الكافي من استدعاءات BIOS في الأنظمة التي تدعم تطبيقات 16 بت. تؤثر الثغرة على الأنظمة ذات معمارية x86 بنظام 32 بت حيث يمكن للمهاجم تنفيذ تعليمات برمجية خبيثة بصلاحيات النظام الكاملة. تشكل هذه الثغرة خطراً كبيراً خاصة في البيئات التي لا تزال تستخدم أنظمة ويندوز القديمة مع وجود استغلالات عامة متاحة.
توجد ثغرة حرجة لتصعيد الصلاحيات في نواة مايكروسوفت ويندوز تؤثر على منصات x86 بنظام 32 بت مع تفعيل دعم تطبيقات 16 بت. يمكن للمهاجمين المحليين استغلال التحقق غير الصحيح من استدعاءات BIOS للحصول على صلاحيات النظام الكاملة. توجد استغلالات نشطة مع عدم توفر تصحيح رسمي.
1. Immediately disable 16-bit application support on all 32-bit Windows systems through Group Policy (Computer Configuration > Administrative Templates > Windows Components > Application Compatibility > Prevent access to 16-bit applications) or registry modification (HKLM\SOFTWARE\Policies\Microsoft\Windows\AppCompat, DWORD 'VDMDisallowed' = 1)
2. Prioritize migration from legacy 32-bit Windows systems to modern 64-bit Windows 10/11 or Windows Server 2016+ which are not vulnerable to this attack vector, following NCA-approved system hardening guidelines
3. Implement strict privileged access management (PAM) controls, enforce least privilege principles, enable advanced logging (Sysmon, Windows Event Forwarding) to detect exploitation attempts, and deploy endpoint detection and response (EDR) solutions on all affected systems
1. تعطيل دعم تطبيقات 16 بت فوراً على جميع أنظمة ويندوز 32 بت من خلال نهج المجموعة (Computer Configuration > Administrative Templates > Windows Components > Application Compatibility > Prevent access to 16-bit applications) أو تعديل السجل (HKLM\SOFTWARE\Policies\Microsoft\Windows\AppCompat، DWORD 'VDMDisallowed' = 1)
2. إعطاء الأولوية للترحيل من أنظمة ويندوز القديمة 32 بت إلى أنظمة ويندوز 10/11 أو ويندوز سيرفر 2016+ الحديثة بنظام 64 بت والتي لا تتأثر بهذا النوع من الهجمات، مع اتباع إرشادات تقوية الأنظمة المعتمدة من الهيئة الوطنية للأمن السيبراني
3. تطبيق ضوابط صارمة لإدارة الوصول المميز، فرض مبادئ الصلاحيات الأقل، تفعيل التسجيل المتقدم (Sysmon، Windows Event Forwarding) لاكتشاف محاولات الاستغلال، ونشر حلول الكشف والاستجابة للنقاط الطرفية على جميع الأنظمة المتأثرة