الثغرات ›

CVE-2026-20831

مرتفع

Time-of-check time-of-use (toctou) race condition in Windows Ancillary Function Driver for WinSock allows an authorized attacker to elevate privileges locally.

CWE-367 — نوع الضعف

                    نُشر: Jan 13, 2026                      ·  آخر تحديث: Feb 28, 2026                      ·  المصدر: NVD                

CVSS v3

7.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Time-of-check time-of-use (toctou) race condition in Windows Ancillary Function Driver for WinSock allows an authorized attacker to elevate privileges locally.

🤖 ملخص AI

CVE-2026-20831 is a local privilege escalation vulnerability in Windows Ancillary Function Driver for WinSock affecting multiple Windows 10 and Windows 11 versions, as well as Windows Server 2008 SP2. The TOCTOU race condition allows an authorized local attacker to elevate privileges, requiring immediate patching across enterprise environments. While no public exploit is currently available, the vulnerability's high CVSS score (7.8) and wide platform coverage make it a significant risk for Saudi organizations.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 28, 2026 12:01

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability poses significant risk to Saudi government agencies (NCA, GOSI), banking sector (SAMA-regulated institutions, major banks), healthcare organizations (MOH facilities), energy sector (ARAMCO, SEC), and telecommunications (STC, Mobily). The local privilege escalation capability could enable insider threats or compromised user accounts to gain system-level access, potentially leading to data exfiltration, system compromise, and lateral movement within critical infrastructure networks. Windows 10 and 11 are widely deployed across Saudi enterprises, making this a broad exposure issue.

🏢 القطاعات السعودية المتأثرة

Banking & Financial Services Government & Public Administration Healthcare Energy & Utilities Telecommunications Defense & Security Education Transportation

🎯 تقنيات MITRE ATT&CK

⚖️ درجة المخاطر السعودية (AI)

7.8

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Inventory all Windows 10 (versions 1607, 1809, 21H2, 22H2) and Windows 11 (23H2, 24H2, 25H2) systems, plus Windows Server 2008 SP2 installations

2. Prioritize patching for systems in critical infrastructure, government, and financial sectors

3. Apply Microsoft security updates immediately upon availability

PATCHING GUIDANCE:

1. Deploy Windows Update patches to all affected systems within 48-72 hours for critical infrastructure

2. For Windows Server 2008 SP2 (end-of-life), plan migration to supported versions or apply patch if available

3. Test patches in non-production environments first

4. Implement phased rollout to minimize operational disruption

COMPENSATING CONTROLS (if patching delayed):

1. Restrict local administrative access and enforce principle of least privilege

2. Implement application whitelisting to prevent unauthorized privilege escalation attempts

3. Monitor and audit local account creation and privilege changes

4. Disable unnecessary network services and WinSock-dependent applications

5. Implement endpoint detection and response (EDR) solutions to detect privilege escalation attempts

DETECTION RULES:

1. Monitor for suspicious WinSock driver access patterns and file handle operations

2. Alert on unexpected privilege elevation events from non-administrative accounts

3. Track process creation with elevated privileges from standard user contexts

4. Monitor Windows Event Log for Security events (ID 4688 - Process Creation, ID 4672 - Special Privileges Assigned)

5. Implement YARA rules to detect exploitation attempts targeting WinSock driver memory regions

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. حصر جميع أنظمة Windows 10 (الإصدارات 1607، 1809، 21H2، 22H2) و Windows 11 (23H2، 24H2، 25H2)، بالإضافة إلى تثبيتات Windows Server 2008 SP2

2. إعطاء الأولوية لتصحيح الأنظمة في البنية التحتية الحرجة والحكومة والقطاع المالي

3. تطبيق تحديثات أمان Microsoft فوراً عند توفرها

إرشادات التصحيح:

1. نشر تحديثات Windows Update لجميع الأنظمة المتأثرة خلال 48-72 ساعة للبنية التحتية الحرجة

2. بالنسبة لـ Windows Server 2008 SP2 (نهاية الدعم)، خطط للترقية إلى إصدارات مدعومة أو تطبيق التصحيح إن توفر

3. اختبر التصحيحات في بيئات غير الإنتاج أولاً

4. نفذ النشر على مراحل لتقليل الاضطراب التشغيلي

الضوابط البديلة (إذا تأخر التصحيح):

1. قيد الوصول الإداري المحلي وفرض مبدأ أقل امتياز

2. نفذ قائمة بيضاء للتطبيقات لمنع محاولات تصعيد الامتيازات غير المصرح بها

3. راقب وتدقيق إنشاء الحسابات المحلية وتغييرات الامتيازات

4. عطل الخدمات غير الضرورية والتطبيقات التابعة لـ WinSock

5. نفذ حلول الكشف والاستجابة على نقطة النهاية (EDR) للكشف عن محاولات تصعيد الامتيازات

قواعد الكشف:

1. راقب أنماط الوصول المريبة لبرنامج تشغيل WinSock وعمليات معالجة الملفات

2. أصدر تنبيهات لأحداث تصعيد الامتيازات غير المتوقعة من حسابات غير إدارية

3. تتبع إنشاء العمليات برفع الامتيازات من سياقات المستخدم القياسي

4. راقب سجل أحداث Windows للأحداث الأمنية (ID 4688 - إنشاء العملية، ID 4672 - تعيين الامتيازات الخاصة)

5. نفذ قواعس YARA للكشف عن محاولات الاستغلال التي تستهدف مناطق ذاكرة برنامج تشغيل WinSock

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 - 5.1.1 Access Control Policy ECC 2024 - 5.1.2 User Registration and De-registration ECC 2024 - 5.1.3 User Access Rights ECC 2024 - 5.1.4 Access Rights Review ECC 2024 - 5.2.1 Information Security Responsibilities ECC 2024 - 5.3.1 Segregation of Duties ECC 2024 - 6.5.1 Control of Internal Processing ECC 2024 - 6.5.2 Secure Development Policy

🔵 SAMA CSF

SAMA CSF - Governance & Risk Management (GRM-01: Risk Assessment) SAMA CSF - Asset Management (AM-01: Asset Inventory) SAMA CSF - Access Control (AC-01: Access Control Policy) SAMA CSF - Vulnerability Management (VM-01: Vulnerability Assessment) SAMA CSF - Incident Management (IM-01: Incident Response Plan)

🟡 ISO 27001:2022

ISO 27001:2022 - 5.1 Policies for information security ISO 27001:2022 - 5.3 Segregation of duties ISO 27001:2022 - 6.1 Screening ISO 27001:2022 - 6.5 Access control ISO 27001:2022 - 8.1 Information security risk assessment ISO 27001:2022 - 8.2 Information security risk treatment ISO 27001:2022 - 8.3 Information security risk acceptance ISO 27001:2022 - 8.4 Information security risk communication

🟣 PCI DSS v4.0.1

PCI DSS 4.0 - Requirement 2: Do Not Use Vendor-Supplied Defaults PCI DSS 4.0 - Requirement 6: Develop and Maintain Secure Systems and Applications PCI DSS 4.0 - Requirement 7: Restrict Access to Data by Business Need to Know PCI DSS 4.0 - Requirement 8: Identify Users and Restrict Access to Cardholder Data

🔗 المراجع والمصادر 1

🔗

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20831

secure@microsoft.com

Vendor Advisory

📦 المنتجات المتأثرة 19 منتج

microsoft:windows_10_1607

microsoft:windows_10_1809

microsoft:windows_10_21h2

microsoft:windows_10_22h2

microsoft:windows_11_23h2

microsoft:windows_11_24h2

microsoft:windows_11_25h2

microsoft:windows_server_2008:-

microsoft:windows_server_2008:r2

microsoft:windows_server_2012:-

microsoft:windows_server_2012:r2

microsoft:windows_server_2016

microsoft:windows_server_2019

microsoft:windows_server_2022

microsoft:windows_server_2022_23h2

microsoft:windows_server_2025

📊 CVSS Score

7.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.8

CWECWE-367

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-01-13

المصدر nvd

المشاهدات 3

🇸🇦 درجة المخاطر السعودية

7.8

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-367

🏢 توجيهات البائع

🔗 https://msrc.microsoft.com/update-guide/vulnerabilit...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-20831

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب