الثغرات ›

CVE-2021-31955

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح

Microsoft Windows Kernel Information Disclosure Vulnerability — Microsoft Windows Kernel contains an unspecified vulnerability that allows for information disclosure. Successful exploitation allows at

                    نُشر: Nov 3, 2021                                          ·  المصدر: CISA_KEV                

CVSS v3

9.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

🤖 ملخص AI

CVE-2021-31955 is a critical Windows Kernel information disclosure vulnerability (CVSS 9.0) allowing attackers to read sensitive kernel memory from user-mode processes. With publicly available exploits, this vulnerability poses an immediate threat to all Windows-based systems in Saudi Arabia, potentially exposing sensitive data and enabling privilege escalation attacks. Immediate patching is essential across all government, banking, and critical infrastructure sectors.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 20, 2026 19:37

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability affects all Saudi organizations running Windows systems. Critical impact on: SAMA-regulated banking institutions and financial sector (potential exposure of cryptographic keys and authentication tokens), NCA government agencies and ministries (classified data exposure), Saudi Aramco and energy sector SCADA systems, Ministry of Health and healthcare providers (patient data exposure), STC and telecom operators (network infrastructure compromise), and critical infrastructure operators. The ability to read kernel memory enables attackers to bypass security mechanisms, extract credentials, and facilitate further attacks.

🏢 القطاعات السعودية المتأثرة

Banking and Financial Services Government and Public Administration Energy and Utilities Healthcare Telecommunications Critical Infrastructure Defense and Security

🎯 تقنيات MITRE ATT&CK

T1055 - Process Injection T1134 - Access Token Manipulation T1548 - Abuse Elevation Control Mechanism T1557 - Man-in-the-Middle T1040 - Traffic Sniffing T1003 - OS Credential Dumping T1528 - Steal Application Access Token

⚖️ درجة المخاطر السعودية (AI)

9.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Prioritize patching all Windows systems across the organization immediately

2. Apply Microsoft Security Update KB5003637 or later for affected Windows versions

3. Implement network segmentation to limit lateral movement if exploitation occurs

4. Enable Windows Defender/Microsoft Defender with real-time protection



PATCHING GUIDANCE:

- Windows 10: Install cumulative update released June 2021 or later

- Windows Server 2016/2019/2022: Apply corresponding security updates

- Windows 7/8.1: Apply Extended Security Updates if still in use



COMPENSATING CONTROLS (if immediate patching delayed):

- Restrict user-mode process execution privileges

- Implement Application Control policies (AppLocker/Windows Defender Application Control)

- Monitor for suspicious kernel memory access attempts

- Disable unnecessary services and features



DETECTION RULES:

- Monitor for abnormal kernel memory read operations

- Alert on execution of known exploit tools (CVE-2021-31955 PoC variants)

- Track failed and successful privilege escalation attempts

- Monitor for unusual system call patterns from user-mode processes

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. أولويات تصحيح جميع أنظمة Windows عبر المنظمة فوراً

2. تطبيق تحديث الأمان من Microsoft KB5003637 أو أحدث للإصدارات المتأثرة

3. تنفيذ تقسيم الشبكة لتحديد الحركة الجانبية في حالة الاستغلال

4. تفعيل Windows Defender/Microsoft Defender مع الحماية في الوقت الفعلي



إرشادات التصحيح:

- Windows 10: تثبيت التحديث التراكمي الصادر في يونيو 2021 أو أحدث

- Windows Server 2016/2019/2022: تطبيق التحديثات الأمنية المقابلة

- Windows 7/8.1: تطبيق تحديثات الأمان الموسعة إذا كانت لا تزال قيد الاستخدام



الضوابط البديلة (إذا تأخر التصحيح الفوري):

- تقييد امتيازات تنفيذ عمليات وضع المستخدم

- تنفيذ سياسات التحكم في التطبيقات (AppLocker/Windows Defender Application Control)

- مراقبة محاولات الوصول غير الطبيعي لذاكرة النواة

- تعطيل الخدمات والميزات غير الضرورية



قواعد الكشف:

- مراقبة عمليات قراءة ذاكرة النواة غير الطبيعية

- تنبيهات تنفيذ أدوات الاستغلال المعروفة

- تتبع محاولات تصعيد الامتيازات الفاشلة والناجحة

- مراقبة أنماط استدعاءات النظام غير المعتادة من عمليات وضع المستخدم

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.5.1.1 - Information Security Policies and Procedures A.8.1.1 - User Access Management A.12.2.1 - Change Management A.12.6.1 - Management of Technical Vulnerabilities

🔵 SAMA CSF

ID.RA-1 - Asset Management and Vulnerability Management PR.IP-12 - System and Information Integrity DE.CM-8 - Vulnerability Scans RS.MI-2 - Incident Response and Recovery

🟡 ISO 27001:2022

A.12.6.1 - Management of technical vulnerabilities A.14.2.1 - Secure development policy A.12.2.1 - Change management procedures A.5.2.1 - Information security responsibilities

🟣 PCI DSS v4.0

Requirement 6.2 - Security patches and updates Requirement 11.2 - Vulnerability scanning

🔗 المراجع والمصادر 0

لا توجد مراجع.

📦 المنتجات المتأثرة 1 منتج

Microsoft:Windows

📊 CVSS Score

9.0

/ 10.0 — حرج

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.0

EPSS4.65%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

CISA KEV🇺🇸 Yes

تاريخ الإصلاح2021-11-17

تاريخ النشر 2021-11-03

المصدر cisa_kev

المشاهدات 4

🇸🇦 درجة المخاطر السعودية

9.2

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

kev actively-exploited

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2021-31955

عرّفنا بنفسك

تسجيل الدخول مطلوب