الثغرات ›

CVE-2026-25170

مرتفع

Use after free in Windows Hyper-V allows an authorized attacker to elevate privileges locally.

CWE-416 — نوع الضعف

                    نُشر: Mar 10, 2026                      ·  آخر تحديث: Mar 17, 2026                      ·  المصدر: NVD                

CVSS v3

7.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Use after free in Windows Hyper-V allows an authorized attacker to elevate privileges locally.

🤖 ملخص AI

CVE-2026-25170 is a use-after-free vulnerability in Windows Hyper-V affecting Windows 11 (23H2-26H1) and Windows Server 2022, allowing authorized local attackers to escalate privileges. With a CVSS score of 7.0 and no public exploit currently available, this poses a significant risk to virtualized infrastructure in Saudi organizations. Immediate patching is critical for cloud providers, data centers, and enterprises running Hyper-V environments.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 10, 2026 11:18

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability primarily impacts: (1) Banking sector — SAMA-regulated institutions using Hyper-V for critical infrastructure and customer data hosting; (2) Government entities — NCA-supervised agencies relying on virtualized environments for e-government services; (3) Cloud service providers — Saudi data centers and regional cloud operators; (4) Healthcare — MOH facilities using virtualized systems for patient records; (5) Energy sector — ARAMCO and utilities using Hyper-V for operational technology. The privilege escalation capability poses severe risk to multi-tenant environments and isolated security zones.

🏢 القطاعات السعودية المتأثرة

Banking and Financial Services Government and Public Administration Cloud Service Providers Healthcare Energy and Utilities Telecommunications Data Centers Enterprise IT Infrastructure

🎯 تقنيات MITRE ATT&CK

T1548.004 — Abuse Elevation Control Mechanism (Bypass User Account Control) T1134.003 — Access Token Manipulation (Make and Impersonate Token) T1547.001 — Boot or Logon Autostart Execution (Registry Run Keys) T1543.003 — Create or Modify System Process (Windows Service) T1055 — Process Injection (code execution in privileged context) T1574.008 — Hijack Execution Flow (DLL Search Order Hijacking via privilege escalation)

⚖️ درجة المخاطر السعودية (AI)

7.8

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all Windows 11 (23H2-26H1) and Windows Server 2022 systems with Hyper-V enabled using asset management tools

2. Assess exposure: prioritize systems hosting critical workloads, multi-tenant environments, and sensitive data

3. Disable Hyper-V on non-essential systems until patching is complete



PATCHING GUIDANCE:

1. Apply Microsoft security updates immediately upon release (monitor SAMA/NCA security advisories)

2. Test patches in isolated lab environments before production deployment

3. Implement phased rollout: critical systems first, then standard infrastructure

4. Verify patch installation using: Get-HotFix | Where-Object {$_.HotFixID -match 'KB[patch-number]'}



COMPENSATING CONTROLS (if patching delayed):

1. Restrict local administrative access and enforce principle of least privilege

2. Implement application whitelisting on Hyper-V hosts

3. Monitor Hyper-V process execution for suspicious activity

4. Isolate Hyper-V hosts on segmented networks with strict access controls

5. Enable Windows Defender Exploit Guard and Attack Surface Reduction rules



DETECTION RULES:

1. Monitor Windows Event Viewer for Hyper-V Worker Process (vmwp.exe) crashes or abnormal termination

2. Alert on privilege escalation attempts from low-privilege Hyper-V processes

3. Track unauthorized access to Hyper-V management interfaces

4. Log and monitor use-after-free memory access patterns in kernel debugging

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. تحديد جميع أنظمة Windows 11 (23H2-26H1) و Windows Server 2022 مع تفعيل Hyper-V باستخدام أدوات إدارة الأصول

2. تقييم التعرض: إعطاء الأولوية للأنظمة التي تستضيف أعباء العمل الحرجة والبيئات متعددة المستأجرين والبيانات الحساسة

3. تعطيل Hyper-V على الأنظمة غير الأساسية حتى اكتمال التصحيح

إرشادات التصحيح:

1. تطبيق تحديثات أمان Microsoft فورًا عند الإصدار (مراقبة تنبيهات SAMA/NCA الأمنية)

2. اختبار التصحيحات في بيئات معملية معزولة قبل نشرها في الإنتاج

3. تنفيذ طرح متدرج: الأنظمة الحرجة أولاً، ثم البنية التحتية القياسية

4. التحقق من تثبيت التصحيح باستخدام: Get-HotFix | Where-Object {$_.HotFixID -match 'KB[patch-number]'}

الضوابط البديلة (إذا تأخر التصحيح):

1. تقييد الوصول الإداري المحلي وفرض مبدأ أقل امتياز

2. تنفيذ قائمة بيضاء للتطبيقات على مضيفي Hyper-V

3. مراقبة تنفيذ عملية Hyper-V Worker (vmwp.exe) للنشاط المريب

4. عزل مضيفي Hyper-V على شبكات مقسمة مع ضوابط وصول صارمة

5. تفعيل Windows Defender Exploit Guard وقواعد تقليل سطح الهجوم

قواعد الكشف:

1. مراقبة Windows Event Viewer لأعطال عملية Hyper-V Worker (vmwp.exe) أو الإنهاء غير الطبيعي

2. التنبيه على محاولات تصعيد الامتيازات من عمليات Hyper-V منخفضة الامتياز

3. تتبع الوصول غير المصرح إلى واجهات إدارة Hyper-V

4. تسجيل ومراقبة أنماط الوصول إلى الذاكرة بعد التحرير في تصحيح النواة

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.5.1.1 — Access Control Policies (privilege escalation prevention) ECC 2024 A.12.2.1 — Change Management (patch deployment procedures) ECC 2024 A.12.6.1 — Management of Technical Vulnerabilities (vulnerability assessment and remediation) ECC 2024 A.14.2.1 — System Development and Maintenance (secure configuration of virtualization)

🔵 SAMA CSF

SAMA CSF ID.BE-1 — Business Environment (critical infrastructure protection) SAMA CSF PR.IP-12 — Information Protection Processes (vulnerability management) SAMA CSF DE.CM-8 — Malware Detection (detection of privilege escalation attempts) SAMA CSF RS.MI-2 — Incident Response (containment of compromised Hyper-V hosts)

🟡 ISO 27001:2022

ISO 27001:2022 A.5.23 — Information Security for Supplier Relationships (patch management) ISO 27001:2022 A.8.1 — Asset Management (inventory of virtualized systems) ISO 27001:2022 A.8.2 — Configuration Management (secure Hyper-V configuration) ISO 27001:2022 A.12.6.1 — Management of Technical Vulnerabilities (CVE tracking and remediation)

🟣 PCI DSS v4.0.1

PCI DSS 6.2 — Security Patches (timely application of vendor patches) PCI DSS 11.2 — Vulnerability Scanning (identification of affected systems) PCI DSS 12.2 — Configuration Standards (secure Hyper-V hardening)

🔗 المراجع والمصادر 1

🔗

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-25170

secure@microsoft.com

Vendor Advisory

📦 المنتجات المتأثرة 11 منتج

microsoft:windows_11_23h2

microsoft:windows_11_24h2

microsoft:windows_11_25h2

microsoft:windows_11_26h1

microsoft:windows_server_2022

microsoft:windows_server_2022_23h2

microsoft:windows_server_2025

📊 CVSS Score

7.0

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityH — High

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.0

CWECWE-416

اختراق متاح لا

تصحيح متاح ✓ نعم

تاريخ النشر 2026-03-10

المصدر nvd

المشاهدات 5

🇸🇦 درجة المخاطر السعودية

7.8

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

CWE-416

🏢 توجيهات البائع

🔗 https://msrc.microsoft.com/update-guide/vulnerabilit...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

💬 التعليقات

جارٍ التحميل

CVE-2026-25170

💬 التعليقات

عرّفنا بنفسك

تسجيل الدخول مطلوب