الثغرات ›

CVE-2026-23672

مرتفع

Windows Universal Disk Format File System Driver (UDFS) Elevation of Privilege Vulnerability

CWE-125 — نوع الضعف

                    نُشر: Mar 10, 2026                      ·  آخر تحديث: Mar 17, 2026                      ·  المصدر: NVD                

CVSS v3

7.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Windows Universal Disk Format File System Driver (UDFS) Elevation of Privilege Vulnerability

🤖 ملخص AI

A Windows UDFS driver elevation of privilege vulnerability (CVE-2026-23672) affects multiple Windows 10 versions with a CVSS score of 7.8. An authenticated local attacker can exploit an out-of-bounds read condition to escalate privileges to SYSTEM level. While no public exploit is currently available, the vulnerability impacts widespread Windows 10 deployments across Saudi organizations and requires immediate patching to prevent privilege escalation attacks.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 29, 2026 00:27

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability poses significant risk to Saudi government agencies, banking sector (SAMA-regulated institutions), healthcare facilities, and corporate environments running Windows 10. Government entities under NCA oversight and financial institutions under SAMA supervision are particularly vulnerable. The elevation of privilege capability could enable attackers to bypass security controls, access sensitive data, and compromise critical systems. Organizations with BYOD policies or shared workstations face elevated risk due to local attack surface.

🏢 القطاعات السعودية المتأثرة

Government & Public Administration (NCA oversight) Banking & Financial Services (SAMA regulated) Healthcare & Medical Institutions Energy & Utilities (ARAMCO, SEC) Telecommunications (STC, Mobily, Zain) Education & Universities Manufacturing & Industrial Retail & Commerce

🎯 تقنيات MITRE ATT&CK

T1548.004 - Abuse Elevation Control Mechanism: Elevated Execution with Prompt T1548 - Abuse Elevation Control Mechanism T1611 - Escape to Host T1134.003 - Access Token Manipulation: Make and Impersonate Token T1547.001 - Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

⚖️ درجة المخاطر السعودية (AI)

7.8

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all Windows 10 systems running affected versions (1607, 1809, 21H2, 22H2) across your organization

2. Prioritize patching for systems with elevated privileges or access to sensitive data

3. Restrict local access to systems where possible; disable optical/removable media if not required

PATCHING GUIDANCE:

1. Apply Microsoft security updates immediately upon availability through Windows Update or WSUS

2. For enterprise environments, deploy patches via SCCM/Intune with phased rollout

3. Test patches in non-production environment first to ensure compatibility

4. Verify patch installation using: Get-HotFix | Where-Object {$_.HotFixID -eq 'KBXXXXXX'}

COMPENSATING CONTROLS (if patching delayed):

1. Implement application whitelisting to restrict execution of suspicious processes

2. Enable Windows Defender Application Guard for isolated execution environments

3. Restrict local administrative access and enforce principle of least privilege

4. Monitor and log all local privilege escalation attempts

5. Disable UDFS driver if not required: sc config udfs start= disabled

DETECTION RULES:

1. Monitor Event ID 4688 (Process Creation) for suspicious SYSTEM-level process spawning from user sessions

2. Alert on access to UDFS driver (udfs.sys) by non-system processes

3. Monitor for out-of-bounds memory access patterns in kernel mode

4. Track failed privilege escalation attempts in Security Event Log

5. Implement EDR rules to detect unusual kernel driver interactions

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تحديد جميع أنظمة Windows 10 التي تعمل بالإصدارات المتأثرة (1607، 1809، 21H2، 22H2) عبر مؤسستك

2. إعطاء الأولوية لتصحيح الأنظمة ذات الامتيازات المرتفعة أو الوصول إلى البيانات الحساسة

3. تقييد الوصول المحلي حيث أمكن؛ تعطيل الوسائط البصرية/القابلة للإزالة إذا لم تكن مطلوبة

إرشادات التصحيح:

1. تطبيق تحديثات أمان Microsoft فوراً عند توفرها عبر Windows Update أو WSUS

2. للبيئات الموزعة، نشر التصحيحات عبر SCCM/Intune مع طرح متدرج

3. اختبار التصحيحات في بيئة غير الإنتاج أولاً لضمان التوافق

4. التحقق من تثبيت التصحيح باستخدام: Get-HotFix | Where-Object {$_.HotFixID -eq 'KBXXXXXX'}

الضوابط البديلة (إذا تأخر التصحيح):

1. تنفيذ قائمة بيضاء للتطبيقات لتقييد تنفيذ العمليات المريبة

2. تفعيل Windows Defender Application Guard للبيئات المعزولة

3. تقييد الوصول الإداري المحلي وفرض مبدأ أقل امتياز

4. مراقبة وتسجيل جميع محاولات الارتقاء بالامتيازات المحلية

5. تعطيل برنامج تشغيل UDFS إذا لم يكن مطلوباً: sc config udfs start= disabled

قواعد الكشف:

1. مراقبة معرف الحدث 4688 (إنشاء العملية) للعمليات المريبة على مستوى SYSTEM من جلسات المستخدم

2. التنبيه على الوصول إلى برنامج تشغيل UDFS (udfs.sys) من قبل عمليات غير النظام

3. مراقبة أنماط الوصول إلى الذاكرة خارج الحدود في وضع kernel

4. تتبع محاولات الارتقاء بالامتيازات الفاشلة في سجل أحداث الأمان

5. تنفيذ قواعد EDR للكشف عن التفاعلات غير العادية مع برنامج تشغيل kernel

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.5.1.1 - Information Security Policies (patch management requirements) A.8.1.1 - User Access Management (privilege escalation prevention) A.12.2.1 - Change Management (security update deployment) A.12.6.1 - Management of Technical Vulnerabilities (vulnerability remediation)

🔵 SAMA CSF

ID.RA-1 - Asset Management (inventory of affected systems) PR.IP-3 - Security Configuration Management (patch deployment) PR.MA-2 - Maintenance and Support (timely patching) DE.CM-8 - Vulnerability Scans (detection of unpatched systems)

🟡 ISO 27001:2022

A.12.2.1 - Change management procedures A.12.6.1 - Management of technical vulnerabilities A.14.2.1 - Secure development policy A.18.2.3 - Compliance with security policies and standards

🟣 PCI DSS v4.0.1

Requirement 6.2 - Security patches installation Requirement 11.2 - Vulnerability scanning

🔗 المراجع والمصادر 1

🔗

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-23672

secure@microsoft.com

Vendor Advisory

📦 المنتجات المتأثرة 25 منتج

microsoft:windows_10_1607

microsoft:windows_10_1809

microsoft:windows_10_21h2

microsoft:windows_10_22h2

microsoft:windows_11_23h2

microsoft:windows_11_24h2

microsoft:windows_11_25h2

microsoft:windows_11_26h1

microsoft:windows_server_2012:-

microsoft:windows_server_2012:r2

microsoft:windows_server_2016

microsoft:windows_server_2019

microsoft:windows_server_2022

microsoft:windows_server_2022_23h2

microsoft:windows_server_2025

📊 CVSS Score

7.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.8

CWECWE-125

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-03-10

المصدر nvd

المشاهدات 6

🇸🇦 درجة المخاطر السعودية

7.8

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-125

🏢 توجيهات البائع

🔗 https://msrc.microsoft.com/update-guide/vulnerabilit...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-23672

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب