جاري التحميل
📧 info@ciso.sa | 📱 +966550939344 | الرياض، المملكة العربية السعودية
عن المنصة الأسئلة الشائعة اتصل بنا شروط الخدمة سياسة الخصوصية 🌐 English
🔐

مرحباً — سجّل دخولك أو أنشئ حساباً للوصول الكامل.

🔑 دخول ✨ حساب جديد
🌐 EN تسجيل الدخول إنشاء حساب
🔧 صيانة مجدولة — السبت 2:00-4:00 صباحاً. قد تكون بعض الميزات غير متاحة مؤقتاً.    ●   
💎
خطة Pro بخصم 50% احصل على جميع ميزات AI والتقارير غير المحدودة والدعم ذي الأولوية. ترقّ الآن
مركز البحث
ESC للإغلاق
تنقل فتح Ctrl+K بحث
CISO Consulting
Global vulnerability تكنولوجيا المعلومات / الأمن السيبراني CRITICAL 1h Global malware الطاقة والمرافق CRITICAL 1h Global ransomware قطاعات متعددة CRITICAL 2h Global vulnerability أنظمة التحكم الصناعية / إنترنت الأشياء / البنية التحتية CRITICAL 4h Global supply_chain تكنولوجيا المعلومات والبنية التحتية الحرجة CRITICAL 5h Global phishing قطاعات متعددة HIGH 5h Global insider خدمات الأمن السيبراني CRITICAL 5h Global ransomware قطاعات متعددة (الشركات الأمريكية) CRITICAL 6h Global malware الخدمات المالية والعملات المشفرة CRITICAL 6h Global malware تكنولوجيا والخدمات السحابية HIGH 6h Global vulnerability تكنولوجيا المعلومات / الأمن السيبراني CRITICAL 1h Global malware الطاقة والمرافق CRITICAL 1h Global ransomware قطاعات متعددة CRITICAL 2h Global vulnerability أنظمة التحكم الصناعية / إنترنت الأشياء / البنية التحتية CRITICAL 4h Global supply_chain تكنولوجيا المعلومات والبنية التحتية الحرجة CRITICAL 5h Global phishing قطاعات متعددة HIGH 5h Global insider خدمات الأمن السيبراني CRITICAL 5h Global ransomware قطاعات متعددة (الشركات الأمريكية) CRITICAL 6h Global malware الخدمات المالية والعملات المشفرة CRITICAL 6h Global malware تكنولوجيا والخدمات السحابية HIGH 6h Global vulnerability تكنولوجيا المعلومات / الأمن السيبراني CRITICAL 1h Global malware الطاقة والمرافق CRITICAL 1h Global ransomware قطاعات متعددة CRITICAL 2h Global vulnerability أنظمة التحكم الصناعية / إنترنت الأشياء / البنية التحتية CRITICAL 4h Global supply_chain تكنولوجيا المعلومات والبنية التحتية الحرجة CRITICAL 5h Global phishing قطاعات متعددة HIGH 5h Global insider خدمات الأمن السيبراني CRITICAL 5h Global ransomware قطاعات متعددة (الشركات الأمريكية) CRITICAL 6h Global malware الخدمات المالية والعملات المشفرة CRITICAL 6h Global malware تكنولوجيا والخدمات السحابية HIGH 6h
الثغرات

CVE-2023-36036

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح
Microsoft Windows Cloud Files Mini Filter Driver Privilege Escalation Vulnerability — Microsoft Windows Cloud Files Mini Filter Driver contains a privilege escalation vulnerability that could allow an
نُشر: Nov 14, 2023  ·  المصدر: CISA_KEV
CVSS v3
9.0
🔗 NVD الرسمي
📄 الوصف (الإنجليزية)

Microsoft Windows Cloud Files Mini Filter Driver Privilege Escalation Vulnerability — Microsoft Windows Cloud Files Mini Filter Driver contains a privilege escalation vulnerability that could allow an attacker to gain SYSTEM privileges.

🤖 ملخص AI

CVE-2023-36036 is a critical privilege escalation vulnerability in the Microsoft Windows Cloud Files Mini Filter Driver (cldflt.sys) with a CVSS score of 9.0. An authenticated attacker can exploit this flaw to elevate privileges to SYSTEM level, enabling full control over the affected machine. This vulnerability has a confirmed public exploit and is actively being exploited in the wild, making immediate patching essential. Organizations running Windows environments are at significant risk, particularly those with large enterprise deployments.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 17, 2026 22:55
🇸🇦 التأثير على المملكة العربية السعودية
This vulnerability poses a severe risk to Saudi organizations across all critical sectors. Government entities under NCA oversight and ARAMCO/energy sector organizations with large Windows fleets are at heightened risk due to the SYSTEM-level privilege escalation potential. SAMA-regulated financial institutions (banks, insurance companies) face significant exposure as attackers could leverage this to bypass security controls, exfiltrate sensitive financial data, or deploy ransomware. Telecom providers like STC with extensive Windows infrastructure are also at risk. Healthcare organizations using Windows-based medical systems could face patient data breaches. Given Saudi Arabia's Vision 2030 digital transformation initiatives, the widespread adoption of Windows environments across government and private sectors amplifies the attack surface considerably. Active exploitation in the wild increases the likelihood of targeted attacks against Saudi critical infrastructure.
🏢 القطاعات السعودية المتأثرة
Banking Government Energy Telecom Healthcare Defense Education Retail
⚖️ درجة المخاطر السعودية (AI)
9.2
/ 10.0
🔧 Remediation Steps (English)
IMMEDIATE ACTIONS (0-24 hours):

1. Apply Microsoft's November 2023 Patch Tuesday security update (KB5032189 or equivalent for your Windows version) immediately.

2. Prioritize patching internet-facing systems, domain controllers, and servers with elevated privileges.

3. Enable Windows Defender Credential Guard to limit lateral movement post-exploitation.

4. Audit and restrict local administrator accounts to minimize attack surface.



PATCHING GUIDANCE:

1. Download and apply the relevant cumulative update from Microsoft Update Catalog for your specific Windows version (Windows 10, 11, Server 2016/2019/2022).

2. Verify patch installation by checking the cldflt.sys file version post-update.

3. Test patches in staging environments before broad deployment where operationally feasible.



COMPENSATING CONTROLS (if patching is delayed):

1. Restrict access to the Cloud Files Mini Filter Driver via AppLocker or Windows Defender Application Control (WDAC) policies.

2. Implement least-privilege principles — remove unnecessary local admin rights from user accounts.

3. Enable enhanced logging for privilege escalation events (Event IDs 4672, 4673, 4674).

4. Deploy EDR solutions to detect anomalous SYSTEM-level process creation.

5. Isolate critical systems from general user networks using micro-segmentation.



DETECTION RULES:

1. Monitor for unexpected SYSTEM-level process spawning from user-context processes.

2. Alert on cldflt.sys driver manipulation or unusual Cloud Filter API calls.

3. SIEM rule: Detect Event ID 4672 (Special Privileges Assigned) for non-administrative accounts.

4. Hunt for processes attempting to load or interact with cldflt.sys outside normal operational patterns.

5. Monitor for known exploit signatures using updated IDS/IPS signatures referencing CVE-2023-36036.
🔧 خطوات المعالجة (العربية)
الإجراءات الفورية (خلال 0-24 ساعة):

1. تطبيق تحديث الأمان الصادر في نوفمبر 2023 من Microsoft (KB5032189 أو ما يعادله لإصدار Windows لديك) فوراً.

2. إعطاء الأولوية لتصحيح الأنظمة المكشوفة على الإنترنت ووحدات التحكم بالنطاق والخوادم ذات الصلاحيات المرتفعة.

3. تفعيل Windows Defender Credential Guard للحد من الحركة الجانبية بعد الاستغلال.

4. مراجعة وتقييد حسابات المسؤول المحلي لتقليل سطح الهجوم.



إرشادات التصحيح:

1. تنزيل وتطبيق التحديث التراكمي المناسب من Microsoft Update Catalog لإصدار Windows المحدد لديك.

2. التحقق من تثبيت التصحيح عبر فحص إصدار ملف cldflt.sys بعد التحديث.

3. اختبار التصحيحات في بيئات التجهيز قبل النشر الواسع حيثما أمكن.



ضوابط التعويض (في حال تأخر التصحيح):

1. تقييد الوصول إلى برنامج تشغيل Cloud Files Mini Filter عبر سياسات AppLocker أو WDAC.

2. تطبيق مبدأ الصلاحيات الدنيا وإزالة حقوق المسؤول المحلي غير الضرورية.

3. تفعيل التسجيل المحسّن لأحداث رفع الصلاحيات (معرفات الأحداث 4672 و4673 و4674).

4. نشر حلول EDR للكشف عن إنشاء العمليات غير الطبيعية على مستوى SYSTEM.

5. عزل الأنظمة الحرجة عن شبكات المستخدمين العامة باستخدام التجزئة الدقيقة.



قواعد الكشف:

1. مراقبة إنشاء العمليات على مستوى SYSTEM بشكل غير متوقع من عمليات سياق المستخدم.

2. التنبيه على التلاعب بمشغل cldflt.sys أو استدعاءات Cloud Filter API غير المعتادة.

3. قاعدة SIEM: الكشف عن معرف الحدث 4672 للحسابات غير الإدارية.

4. البحث عن العمليات التي تحاول تحميل cldflt.sys أو التفاعل معه خارج الأنماط التشغيلية الطبيعية.

5. مراقبة توقيعات الاستغلال المعروفة باستخدام توقيعات IDS/IPS المحدثة المرتبطة بـ CVE-2023-36036.
📋 خريطة الامتثال التنظيمي
🟢 NCA ECC 2024
ECC-1-4-2: Cybersecurity Vulnerability Management ECC-1-3-2: Cybersecurity Patch Management ECC-2-2-1: Access Control and Privilege Management ECC-1-5-1: Cybersecurity Event Logging and Monitoring ECC-2-3-1: Endpoint Security
🔵 SAMA CSF
3.3.3 Vulnerability Management 3.3.5 Patch Management 3.2.2 Access Control Management 3.3.6 Security Monitoring and Incident Management 3.2.5 Privileged Access Management
🟡 ISO 27001:2022
A.8.8 Management of Technical Vulnerabilities A.8.2 Privileged Access Rights A.8.15 Logging A.8.19 Installation of Software on Operational Systems A.5.15 Access Control
🟣 PCI DSS v4.0
Requirement 6.3.3: All system components are protected from known vulnerabilities by installing applicable security patches Requirement 7.2: Access to system components and data is appropriately defined and assigned Requirement 10.2: Audit logs capture all individual user access to cardholder data
🔗 المراجع والمصادر 0
لا توجد مراجع.
📦 المنتجات المتأثرة 1 منتج
Microsoft:Windows
📊 CVSS Score
9.0
/ 10.0 — حرج
📋 حقائق سريعة
الخطورة حرج
CVSS Score9.0
EPSS0.92%
اختراق متاح ✓ نعم
تصحيح متاح ✓ نعم
CISA KEV🇺🇸 Yes
تاريخ الإصلاح2023-12-05
تاريخ النشر 2023-11-14
المصدر cisa_kev
المشاهدات 3
🇸🇦 درجة المخاطر السعودية
9.2
/ 10.0 — مخاطر السعودية
🏷️ الوسوم
kev actively-exploited
⚡ إجراءات
🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details
مشاركة ثغرة
LinkedIn X / Twitter WhatsApp Telegram
📣 وجدت هذا مفيداً؟
شاركه مع شبكة الأمن السيبراني الخاصة بك
in لينكدإن 𝕏 تويتر 💬 واتساب ✈ تليجرام
🍪 إعدادات الخصوصية
سيزو للاستشارات — متوافق مع نظام حماية البيانات الشخصية السعودي (PDPL)
نستخدم ملفات تعريف الارتباط والتقنيات المشابهة لتوفير أفضل تجربة على منصتنا. يمكنك اختيار الأنواع التي تقبلها.
🔒
ملفات ضرورية Always On
مطلوبة لعمل الموقع بشكل صحيح. لا يمكن تعطيلها.
📋 الجلسات، CSRF، المصادقة، تفضيلات اللغة
📊
ملفات التحليلات
تساعدنا في فهم كيفية استخدام الزوار للموقع وتحسين الأداء.
📋 إحصائيات الصفحات، مدة الجلسة، مصدر الزيارة
⚙️
ملفات وظيفية
تتيح ميزات محسنة مثل تخصيص المحتوى والتفضيلات.
📋 السمة المظلمة/الفاتحة، حجم الخط، لوحات التحكم المخصصة
📣
ملفات تسويقية
تُستخدم لتقديم محتوى وإعلانات ذات صلة باهتماماتك.
📋 تتبع الحملات، إعادة الاستهداف، تحليلات وسائل التواصل
سياسة الخصوصية →
مساعد CISO الذكي
اسألني أي شيء · وثائق · دعم
🔐

عرّفنا بنفسك

أدخل بياناتك للوصول إلى المساعد الكامل

معلوماتك آمنة ولن تُشارك
💬
المساعد السيبراني
متصل — يرد في ثوانٍ
5 / 5
🔐 تحقق من هويتك

أدخل بريدك الإلكتروني لإرسال رمز تحقق قبل إرسال طلب الدعم.

Enter للإرسال · / للأوامر 0 / 2000
CISO AI · مدعوم بالذكاء الاصطناعي
✦ استطلاع سريع ساعدنا في تحسين منصة سيزو للاستشارات ملاحظاتك تشكّل مستقبل منصتنا — لا تستغرق سوى دقيقتين.
⚠ يرجى الإجابة على هذا السؤال للمتابعة

كيف تقيّم تجربتك العامة مع منصتنا؟

قيّم من 1 (ضعيف) إلى 5 (ممتاز)

🎉
شكراً جزيلاً!
تم تسجيل إجابتك بنجاح.