الثغرات ›

CVE-2026-24293

مرتفع

Null pointer dereference in Windows Ancillary Function Driver for WinSock allows an authorized attacker to elevate privileges locally.

CWE-476 — نوع الضعف

                    نُشر: Mar 10, 2026                      ·  آخر تحديث: Mar 17, 2026                      ·  المصدر: NVD                

CVSS v3

7.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Null pointer dereference in Windows Ancillary Function Driver for WinSock allows an authorized attacker to elevate privileges locally.

🤖 ملخص AI

CVE-2026-24293 is a null pointer dereference vulnerability in Windows Ancillary Function Driver for WinSock affecting Windows 10 and 11 across multiple architectures. An authorized local attacker can exploit this to elevate privileges to SYSTEM level. With a CVSS score of 7.8 and patch availability, this requires immediate deployment across Saudi enterprise environments.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: Apr 29, 2026 04:55

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability poses significant risk to Saudi government agencies, banking sector (SAMA-regulated institutions), and critical infrastructure operators. Government entities using Windows 10/11 endpoints are particularly vulnerable to insider threats and lateral movement attacks. Banking institutions face risks to workstations accessing SAMA-regulated systems. Telecom operators (STC, Mobily) and energy sector (ARAMCO) face potential compromise of administrative workstations. Healthcare organizations using Windows endpoints for patient data access are at risk of unauthorized privilege escalation.

🏢 القطاعات السعودية المتأثرة

Government Banking Healthcare Energy Telecommunications Critical Infrastructure

🎯 تقنيات MITRE ATT&CK

T1548.004 - Abuse Elevation Control Mechanism: Bypass User Account Control T1134.003 - Access Token Manipulation: Make and Impersonate Token T1547.008 - Boot or Logon Autostart Execution: Kernel Modules and Extensions T1543.003 - Create or Modify System Process: Windows Service T1112 - Modify Registry

⚖️ درجة المخاطر السعودية (AI)

7.8

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all Windows 10 (21H2, 22H2) and Windows 11 (23H2, 24H2) systems across x86, x64, and ARM64 architectures

2. Prioritize patching for administrative and privileged user workstations

3. Restrict local administrative access and enforce principle of least privilege



PATCHING GUIDANCE:

1. Deploy Microsoft security updates immediately via Windows Update or WSUS

2. For Windows 10 21H2/22H2: Apply latest cumulative security updates

3. For Windows 11 23H2/24H2: Apply latest cumulative security updates

4. Test patches in non-production environment first

5. Implement phased rollout starting with critical systems



COMPENSATING CONTROLS (if patching delayed):

1. Disable WinSock Auxiliary Function Driver if not required for operations

2. Implement application whitelisting to prevent unauthorized driver loading

3. Enable Windows Defender Application Guard for sensitive workstations

4. Enforce Code Integrity/Device Guard policies

5. Monitor for suspicious driver loading attempts



DETECTION RULES:

1. Monitor Event ID 6 (Driver Loaded) for afd.sys with suspicious parameters

2. Alert on null pointer dereference exceptions in kernel mode

3. Track privilege escalation attempts from low-privilege to SYSTEM context

4. Monitor WinSock API calls with malformed parameters

5. Implement EDR rules for unexpected kernel driver interactions

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تحديد جميع أنظمة Windows 10 (21H2، 22H2) و Windows 11 (23H2، 24H2) عبر معماريات x86 و x64 و ARM64

2. إعطاء الأولوية لتصحيح محطات العمل الإدارية والمميزة

3. تقييد الوصول الإداري المحلي وفرض مبدأ الامتياز الأقل

إرشادات التصحيح:

1. نشر تحديثات أمان Microsoft فوراً عبر Windows Update أو WSUS

2. لـ Windows 10 21H2/22H2: تطبيق أحدث التحديثات الأمنية التراكمية

3. لـ Windows 11 23H2/24H2: تطبيق أحدث التحديثات الأمنية التراكمية

4. اختبار التصحيحات في بيئة غير الإنتاج أولاً

5. تنفيذ النشر المرحلي بدءاً من الأنظمة الحرجة

الضوابط البديلة (إذا تأخر التصحيح):

1. تعطيل WinSock Auxiliary Function Driver إذا لم يكن مطلوباً للعمليات

2. تنفيذ القائمة البيضاء للتطبيقات لمنع تحميل برنامج التشغيل غير المصرح به

3. تفعيل Windows Defender Application Guard لمحطات العمل الحساسة

4. فرض سياسات Code Integrity/Device Guard

5. مراقبة محاولات تحميل برنامج التشغيل المريبة

قواعد الكشف:

1. مراقبة معرف الحدث 6 (Driver Loaded) لـ afd.sys بمعاملات مريبة

2. التنبيه على استثناءات null pointer dereference في وضع kernel

3. تتبع محاولات رفع الامتيازات من سياق منخفض الامتياز إلى SYSTEM

4. مراقبة استدعاءات WinSock API بمعاملات مشوهة

5. تنفيذ قواعد EDR للتفاعلات غير المتوقعة مع برنامج التشغيل kernel

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.5.1.1 - Access Control Policies ECC 2024 A.5.2.1 - User Registration and De-registration ECC 2024 A.8.1.1 - Information Security Awareness ECC 2024 A.12.2.1 - Change Management ECC 2024 A.12.6.1 - Management of Technical Vulnerabilities

🔵 SAMA CSF

SAMA CSF ID.AM-2 - Hardware and Software Assets SAMA CSF PR.DS-6 - Integrity Checking Mechanisms SAMA CSF PR.PT-3 - Access Control Implementation SAMA CSF DE.CM-4 - Malicious Code Detection SAMA CSF RS.MI-2 - Incident Response Procedures

🟡 ISO 27001:2022

ISO 27001:2022 A.5.1 - Policies for Information Security ISO 27001:2022 A.5.2 - Information Security Roles and Responsibilities ISO 27001:2022 A.8.1 - User Endpoint Devices ISO 27001:2022 A.12.6 - Management of Technical Vulnerabilities ISO 27001:2022 A.14.2 - System Development and Acceptance

🟣 PCI DSS v4.0.1

PCI DSS 2.4 - Configuration Standards PCI DSS 6.2 - Security Patches and Updates PCI DSS 11.2 - Vulnerability Scanning

🔗 المراجع والمصادر 1

🔗

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-24293

secure@microsoft.com

Vendor Advisory

📦 المنتجات المتأثرة 17 منتج

microsoft:windows_10_21h2

microsoft:windows_10_22h2

microsoft:windows_11_23h2

microsoft:windows_11_24h2

microsoft:windows_11_25h2

microsoft:windows_11_26h1

microsoft:windows_server_2022

microsoft:windows_server_2022_23h2

microsoft:windows_server_2025

📊 CVSS Score

7.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.8

CWECWE-476

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-03-10

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

7.8

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-476

🏢 توجيهات البائع

🔗 https://msrc.microsoft.com/update-guide/vulnerabilit...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-24293

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب