الثغرات ›

CVE-2026-33834

مرتفع

CWE-284 — نوع الضعف

                    نُشر: May 12, 2026                      ·  آخر تحديث: May 19, 2026                      ·  المصدر: NVD                

CVSS v3

7.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Improper access control in Windows Event Logging Service allows an authorized attacker to elevate privileges locally.

🤖 ملخص AI

CVE-2026-33834 is a privilege escalation vulnerability in Windows Event Logging Service affecting multiple Windows 10 versions. An authorized local attacker can exploit improper access controls to elevate privileges to SYSTEM level. With a CVSS score of 7.8 and no patch currently available, this poses significant risk to Saudi organizations relying on Windows infrastructure, particularly in government and banking sectors where event logging is critical for compliance and security monitoring.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 16, 2026 07:18

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability poses critical risk to Saudi banking sector (SAMA-regulated institutions), government agencies (NCA, ministries), and critical infrastructure operators. Event Logging Service is fundamental to compliance with SAMA CSF and NCA ECC requirements for audit trails and security monitoring. Privilege escalation could allow insiders or compromised accounts to tamper with security logs, evade detection, and maintain persistence. Energy sector (ARAMCO, utilities) and telecom operators (STC, Mobily) managing SCADA/ICS systems on Windows are also at elevated risk. The lack of available patch increases urgency for compensating controls.

🏢 القطاعات السعودية المتأثرة

Banking and Financial Services Government and Public Administration Critical Infrastructure (Energy, Utilities) Telecommunications Healthcare Defense and Security Oil and Gas

🎯 تقنيات MITRE ATT&CK

T1548.002 - Abuse Elevation Control Mechanism: Bypass User Account Control T1548.004 - Abuse Elevation Control Mechanism: Elevated Execution with Prompt T1134.003 - Access Token Manipulation: Make and Impersonate Token T1562.002 - Impair Defenses: Disable Windows Event Logging T1562.008 - Impair Defenses: Disable or Modify Tools T1070.001 - Indicator Removal: Clear Windows Event Logs T1547.001 - Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder

⚖️ درجة المخاطر السعودية (AI)

8.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Inventory all Windows 10 systems (versions 1607, 1809, 21H2, 22H2) across your organization

2. Restrict local administrative access and enforce principle of least privilege

3. Disable unnecessary user accounts and audit active local accounts

4. Enable and monitor Windows Event Logging with enhanced audit policies

COMPENSATING CONTROLS:

1. Implement application whitelisting to prevent unauthorized privilege escalation tools

2. Deploy endpoint detection and response (EDR) solutions to monitor for suspicious process creation and privilege escalation attempts

3. Enable Windows Defender Credential Guard to protect LSASS process

4. Configure Windows Event Log forwarding to centralized SIEM with immutable storage

5. Implement file integrity monitoring on critical system files in Event Logging Service directory (%SystemRoot%\System32\winevt\)

6. Enforce multi-factor authentication for all administrative accounts

7. Monitor for suspicious Event Log clearing attempts (Event ID 104, 1102)

DETECTION RULES:

1. Alert on processes attempting to modify Event Log service permissions or registry keys (HKLM\SYSTEM\CurrentControlSet\Services\EventLog)

2. Monitor for unauthorized access to Event Log files in %SystemRoot%\System32\winevt\Logs\

3. Detect privilege escalation attempts using tools like Mimikatz, Potato variants, or token impersonation

4. Alert on suspicious Event Log service restart or modification attempts

5. Monitor for deletion or clearing of security event logs

PATCHING STRATEGY:

1. Monitor Microsoft security advisories for patch release

2. Prepare patch deployment plan for affected Windows 10 versions

3. Prioritize patching for systems with administrative user access and internet connectivity

4. Test patches in isolated environment before enterprise deployment

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. قم بحصر جميع أنظمة Windows 10 (الإصدارات 1607 و 1809 و 21H2 و 22H2) عبر مؤسستك

2. قيد الوصول الإداري المحلي وفرض مبدأ الحد الأدنى من الامتيازات

3. عطل حسابات المستخدمين غير الضرورية وقم بتدقيق الحسابات المحلية النشطة

4. فعّل ومراقبة تسجيل أحداث Windows مع سياسات التدقيق المحسّنة

عناصر التحكم التعويضية:

1. تطبيق قائمة بيضاء للتطبيقات لمنع أدوات الارتقاء بالامتيازات غير المصرح بها

2. نشر حلول الكشف والاستجابة على نقاط النهاية (EDR) لمراقبة محاولات الارتقاء بالامتيازات

3. تفعيل Windows Defender Credential Guard لحماية عملية LSASS

4. تكوين إعادة توجيه سجل أحداث Windows إلى تخزين SIEM مركزي غير قابل للتغيير

5. تطبيق مراقبة سلامة الملفات على الملفات الحرجة في دليل خدمة تسجيل الأحداث

6. فرض المصادقة متعددة العوامل لجميع الحسابات الإدارية

7. مراقبة محاولات حذف سجل الأحداث المريبة

قواعد الكشف:

1. تنبيهات على العمليات التي تحاول تعديل أذونات خدمة Event Log أو مفاتيح التسجيل

2. مراقبة الوصول غير المصرح به إلى ملفات Event Log

3. الكشف عن محاولات الارتقاء بالامتيازات باستخدام أدوات مختلفة

4. تنبيهات على محاولات إعادة تشغيل أو تعديل خدمة Event Log المريبة

5. مراقبة حذف أو مسح سجلات الأحداث الأمنية

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

A.5.1.1 - Access control policies and procedures A.5.2.1 - User registration and de-registration A.5.3.1 - Access rights review A.8.2.1 - User activity logging A.8.2.2 - Protection of log information A.8.2.3 - Administrator and operator logs A.8.2.4 - Synchronization of clocks

🔵 SAMA CSF

ID.AM-1 - Physical and cyber assets are inventoried PR.AC-1 - Identities and credentials are issued and managed PR.AC-3 - Access is managed through role-based access control PR.AC-4 - Access permissions and authorizations are managed DE.CM-1 - The network is monitored to detect potential cybersecurity events DE.CM-3 - Personnel activity is monitored to detect potential cybersecurity events DE.AE-1 - A baseline of network operations and expected data flows is established

🟡 ISO 27001:2022

5.3 - Segregation of duties 5.15 - Access control 5.16 - Access management 5.17 - Access rights 8.2 - Information security event logging 8.3 - Protection of information systems event logs 8.4 - Generation and retention of evidence

🟣 PCI DSS v4.0.1

2.1 - Change vendor-supplied defaults 6.2 - Ensure security patches are installed 7.1 - Limit access to system components 10.1 - Implement automated audit trails 10.2 - Implement automated mechanisms to restrict access

🔗 المراجع والمصادر 1

🔗

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-33834

secure@microsoft.com

Vendor Advisory

📦 المنتجات المتأثرة 25 منتج

microsoft:windows_10_1607

microsoft:windows_10_1809

microsoft:windows_10_21h2

microsoft:windows_10_22h2

microsoft:windows_11_23h2

microsoft:windows_11_24h2

microsoft:windows_11_25h2

microsoft:windows_11_26h1

microsoft:windows_server_2012:-

microsoft:windows_server_2012:r2

microsoft:windows_server_2016

microsoft:windows_server_2019

microsoft:windows_server_2022

microsoft:windows_server_2022_23h2

microsoft:windows_server_2025

📊 CVSS Score

7.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.8

CWECWE-284

EPSS0.05%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-12

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

8.2

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-284

🏢 توجيهات البائع

🔗 https://msrc.microsoft.com/update-guide/vulnerabilit...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-33834

عرّفنا بنفسك

تسجيل الدخول مطلوب