الثغرات ›

CVE-2026-40377

مرتفع

CWE-122 — نوع الضعف

                    نُشر: May 12, 2026                      ·  آخر تحديث: May 19, 2026                      ·  المصدر: NVD                

CVSS v3

7.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Heap-based buffer overflow in Windows Cryptographic Services allows an authorized attacker to elevate privileges locally.

🤖 ملخص AI

CVE-2026-40377 is a heap-based buffer overflow in Windows Cryptographic Services affecting multiple Windows 10 versions, allowing authorized local attackers to escalate privileges. With a CVSS score of 7.8 and no patch currently available, this vulnerability poses a significant risk to Saudi organizations relying on Windows infrastructure. The vulnerability requires local access but can lead to complete system compromise through privilege escalation.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 18, 2026 21:55

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability directly impacts Saudi government agencies (NCA, NCSC), banking sector (SAMA-regulated institutions, major banks), healthcare organizations (MOH facilities), energy sector (ARAMCO, SEC), and telecommunications providers (STC, Mobily). Windows 10 is widely deployed across these critical sectors. The privilege escalation capability is particularly dangerous in environments where administrative controls are critical for compliance with SAMA CSF and NCA ECC 2024 requirements. Organizations with legacy Windows 10 deployments (versions 1607, 1809) face elevated risk due to extended support timelines.

🏢 القطاعات السعودية المتأثرة

Banking & Financial Services Government & Public Administration Healthcare Energy & Utilities Telecommunications Defense & Security Education Transportation

🎯 تقنيات MITRE ATT&CK

T1548.004 — Abuse Elevation Control Mechanism: Bypass User Account Control T1190 — Exploit Public-Facing Application T1068 — Exploitation for Privilege Escalation T1547.001 — Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1547.008 — Boot or Logon Autostart Execution: LSASS Driver T1134.003 — Access Token Manipulation: Make and Impersonate Token T1055 — Process Injection

⚖️ درجة المخاطر السعودية (AI)

8.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Inventory all Windows 10 systems across affected versions (1607, 1809, 21H2, 22H2) in your environment

2. Prioritize systems with cryptographic services enabled or handling sensitive data

3. Implement application whitelisting to restrict execution of unsigned cryptographic service modifications

4. Enable Windows Defender Application Guard for high-risk systems

COMPENSATING CONTROLS (until patch available):

5. Restrict local administrative access using principle of least privilege

6. Implement Windows Defender Credential Guard to protect cached credentials

7. Enable User Account Control (UAC) with highest security settings

8. Deploy Windows Defender for Endpoint with behavioral threat detection enabled

9. Monitor Event Viewer for cryptographic service anomalies (Event IDs: 4688, 4689, 4703)

10. Restrict access to cryptographic service binaries using NTFS permissions

DETECTION RULES:

- Monitor for unusual heap memory allocation patterns in cryptographic processes (crypt32.dll, cryptsvc.exe)

- Alert on privilege escalation attempts from cryptographic service contexts

- Track modifications to cryptographic service registry keys (HKLM\System\CurrentControlSet\Services\CryptSvc)

- Monitor for abnormal child process creation from cryptographic services

PATCHING STRATEGY:

11. Subscribe to Microsoft Security Update Guide for CVE-2026-40377 patch release

12. Establish expedited patching timeline upon patch availability (target: 30 days for critical systems)

13. Test patches in isolated lab environment before production deployment

14. Plan staged rollout prioritizing systems handling financial/government data

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. قم بحصر جميع أنظمة Windows 10 عبر الإصدارات المتأثرة (1607، 1809، 21H2، 22H2) في بيئتك

2. أعط الأولوية للأنظمة التي تحتوي على خدمات التشفير المفعلة أو التي تتعامل مع البيانات الحساسة

3. تطبيق قائمة التطبيقات المسموحة لتقييد تنفيذ تعديلات خدمات التشفير غير الموقعة

4. تفعيل Windows Defender Application Guard للأنظمة عالية المخاطر

الضوابط البديلة (حتى توفر التصحيح):

5. تقييد الوصول الإداري المحلي باستخدام مبدأ الحد الأدنى من الامتيازات

6. تطبيق Windows Defender Credential Guard لحماية بيانات الاعتماد المخزنة مؤقتًا

7. تفعيل User Account Control (UAC) بأعلى إعدادات الأمان

8. نشر Windows Defender for Endpoint مع تفعيل كشف التهديدات السلوكية

9. مراقبة Event Viewer للشذوذ في خدمات التشفير (معرفات الأحداث: 4688، 4689، 4703)

10. تقييد الوصول إلى ملفات خدمات التشفير باستخدام أذونات NTFS

قواعد الكشف:

- مراقبة أنماط تخصيص الذاكرة العميقة غير العادية في عمليات التشفير (crypt32.dll، cryptsvc.exe)

- تنبيهات محاولات تصعيد الامتيازات من سياقات خدمات التشفير

- تتبع التعديلات على مفاتيح سجل خدمات التشفير (HKLM\System\CurrentControlSet\Services\CryptSvc)

- مراقبة إنشاء العمليات الفرعية غير الطبيعية من خدمات التشفير

استراتيجية التصحيح:

11. الاشتراك في دليل تحديث أمان Microsoft لإصدار تصحيح CVE-2026-40377

12. إنشاء جدول زمني معجل للتصحيح عند توفر التصحيح (الهدف: 30 يومًا للأنظمة الحرجة)

13. اختبار التصحيحات في بيئة معملية معزولة قبل نشرها في الإنتاج

14. التخطيط لنشر مرحلي يعطي الأولوية للأنظمة التي تتعامل مع البيانات المالية والحكومية

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 - 5.1.1 Access Control Policy ECC 2024 - 5.2.1 User Registration and De-registration ECC 2024 - 5.3.1 Privilege Management ECC 2024 - 6.1.1 Cryptography Policy ECC 2024 - 6.2.1 Cryptographic Controls Implementation

🔵 SAMA CSF

SAMA CSF - Governance & Risk Management (GRM-01: Risk Assessment) SAMA CSF - Information Security (IS-02: Access Control) SAMA CSF - Information Security (IS-03: Cryptography) SAMA CSF - Resilience (RES-01: System Resilience) SAMA CSF - Incident Management (IM-01: Incident Detection)

🟡 ISO 27001:2022

ISO 27001:2022 - A.5.2 Information security policies ISO 27001:2022 - A.8.2 Privileged access rights ISO 27001:2022 - A.8.3 Information access restriction ISO 27001:2022 - A.10.1 Cryptography ISO 27001:2022 - A.12.6 Change management

🟣 PCI DSS v4.0.1

PCI DSS 4.0 - Requirement 2: Apply Secure Configurations PCI DSS 4.0 - Requirement 6: Develop and Maintain Secure Systems PCI DSS 4.0 - Requirement 7: Restrict Access to Data PCI DSS 4.0 - Requirement 8: Identify and Authenticate Access

🔗 المراجع والمصادر 1

🔗

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40377

secure@microsoft.com

Vendor Advisory

📦 المنتجات المتأثرة 25 منتج

microsoft:windows_10_1607

microsoft:windows_10_1809

microsoft:windows_10_21h2

microsoft:windows_10_22h2

microsoft:windows_11_23h2

microsoft:windows_11_24h2

microsoft:windows_11_25h2

microsoft:windows_11_26h1

microsoft:windows_server_2012:-

microsoft:windows_server_2012:r2

microsoft:windows_server_2016

microsoft:windows_server_2019

microsoft:windows_server_2022

microsoft:windows_server_2022_23h2

microsoft:windows_server_2025

📊 CVSS Score

7.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.8

CWECWE-122

EPSS0.05%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-12

المصدر nvd

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

8.2

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-122

🏢 توجيهات البائع

🔗 https://msrc.microsoft.com/update-guide/vulnerabilit...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-40377

عرّفنا بنفسك

تسجيل الدخول مطلوب