الثغرات ›

CVE-2026-40381

مرتفع

CWE-284 — نوع الضعف

                    نُشر: May 12, 2026                      ·  آخر تحديث: May 19, 2026                      ·  المصدر: NVD                

CVSS v3

7.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Improper access control in Azure Connected Machine Agent allows an authorized attacker to elevate privileges locally.

🤖 ملخص AI

CVE-2026-40381 is a high-severity privilege escalation vulnerability in Azure Connected Machine Agent affecting all versions. An authorized local attacker can exploit improper access control mechanisms to elevate privileges on affected systems. This poses significant risk to hybrid cloud environments where Azure Arc is deployed for infrastructure management. Immediate mitigation and monitoring are critical until patches become available.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 18, 2026 21:55

🇸🇦 التأثير على المملكة العربية السعودية

Saudi organizations heavily reliant on Azure hybrid infrastructure face significant risk, particularly: (1) ARAMCO and energy sector operations using Azure Arc for remote infrastructure management; (2) SAMA-regulated financial institutions with hybrid cloud deployments; (3) Government entities under NCA oversight managing critical systems through Azure; (4) Telecom providers (STC, Mobily) using Azure for network management; (5) Healthcare organizations under MOH supervision with Azure-connected medical devices. Privilege escalation could lead to unauthorized access to sensitive operational data, compliance violations, and potential disruption of critical services.

🏢 القطاعات السعودية المتأثرة

Energy (ARAMCO, oil & gas operations) Banking & Finance (SAMA-regulated institutions) Government & Critical Infrastructure (NCA oversight) Telecommunications (STC, Mobily, Zain) Healthcare (MOH-regulated facilities) Manufacturing & Industrial Control Systems

🎯 تقنيات MITRE ATT&CK

T1548.002 - Abuse Elevation Control Mechanism: Bypass User Account Control T1548.004 - Abuse Elevation Control Mechanism: Elevated Execution with Prompt T1134.003 - Access Token Manipulation: Make and Impersonate Token T1547.001 - Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1547.014 - Boot or Logon Autostart Execution: Active Setup T1547.008 - Boot or Logon Autostart Execution: LSASS Driver T1543.003 - Create or Modify System Process: Windows Service T1574.008 - Hijack Execution Flow: DLL Search Order Hijacking

⚖️ درجة المخاطر السعودية (AI)

7.8

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Inventory all Azure Connected Machine Agent deployments across your organization

2. Restrict local administrative access to systems running the agent to only essential personnel

3. Implement principle of least privilege for service accounts running the agent

4. Enable and monitor Azure Arc audit logs for suspicious privilege escalation attempts

5. Isolate or air-gap critical systems running the agent until patches are available

COMPENSATING CONTROLS:

1. Deploy host-based intrusion detection (HIDS) to monitor for privilege escalation attempts

2. Implement application whitelisting to prevent unauthorized privilege escalation tools

3. Use Windows Event Viewer to monitor Security event ID 4688 (Process Creation) and 4672 (Special Privileges Assigned)

4. Configure Azure Policy to enforce MFA for all Azure Arc-connected resources

5. Implement network segmentation to limit lateral movement from compromised agents

DETECTION RULES:

1. Monitor for unexpected elevation of privileges on Azure Arc-connected machines

2. Alert on any process execution with SYSTEM privileges initiated from Azure Connected Machine Agent service account

3. Track modifications to agent configuration files and registry keys

4. Monitor for unusual service account behavior and token impersonation attempts

PATCHING GUIDANCE:

1. Subscribe to Microsoft Security Updates for Azure Connected Machine Agent

2. Establish a testing environment to validate patches before production deployment

3. Plan phased rollout of patches across your infrastructure

4. Document all systems and their current agent versions for tracking

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. قم بحصر جميع نشرات وكيل Azure Connected Machine عبر مؤسستك

2. قيد الوصول الإداري المحلي للأنظمة التي تقوم بتشغيل الوكيل للموظفين الأساسيين فقط

3. طبق مبدأ أقل امتياز لحسابات الخدمة التي تقوم بتشغيل الوكيل

4. فعّل ومراقبة سجلات تدقيق Azure Arc لمحاولات رفع الامتيازات المريبة

5. عزل أو افصل الأنظمة الحرجة التي تقوم بتشغيل الوكيل حتى تصبح التصحيحات متاحة

الضوابط البديلة:

1. نشر كشف التطفل على مستوى المضيف (HIDS) لمراقبة محاولات رفع الامتيازات

2. تطبيق القائمة البيضاء للتطبيقات لمنع أدوات رفع الامتيازات غير المصرح بها

3. استخدم عارض أحداث Windows لمراقبة معرف الحدث 4688 (إنشاء العملية) و4672 (تعيين الامتيازات الخاصة)

4. قم بتكوين سياسة Azure لفرض المصادقة متعددة العوامل لجميع موارد Azure Arc المتصلة

5. تطبيق تقسيم الشبكة لتحديد الحركة الجانبية من الوكلاء المخترقة

قواعد الكشف:

1. مراقبة رفع الامتيازات غير المتوقع على أجهزة Azure Arc المتصلة

2. تنبيه على أي تنفيذ عملية بامتيازات SYSTEM بدء من حساب خدمة وكيل Azure Connected Machine

3. تتبع التعديلات على ملفات تكوين الوكيل ومفاتيح السجل

4. مراقبة سلوك حساب الخدمة غير المعتاد ومحاولات محاكاة الرموز

إرشادات التصحيح:

1. اشترك في تحديثات أمان Microsoft لوكيل Azure Connected Machine

2. أنشئ بيئة اختبار للتحقق من صحة التصحيحات قبل نشر الإنتاج

3. خطط لنشر مرحلي للتصحيحات عبر البنية التحتية الخاصة بك

4. وثق جميع الأنظمة وإصدارات الوكيل الحالية الخاصة بها للتتبع

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.5.1.1 - Access Control Policy ECC 2024 A.5.2.1 - User Registration and De-registration ECC 2024 A.5.3.1 - Access Rights Review ECC 2024 A.9.2.1 - User Access Management ECC 2024 A.9.4.3 - Restriction of Access to Information

🔵 SAMA CSF

SAMA CSF ID.AM-1 - Asset Management SAMA CSF PR.AC-1 - Access Control Policy SAMA CSF PR.AC-4 - Access Rights Management SAMA CSF DE.CM-1 - System Monitoring SAMA CSF RS.MI-2 - Incident Response Procedures

🟡 ISO 27001:2022

ISO 27001:2022 A.5.2 - Information Security Policies ISO 27001:2022 A.8.2 - Privileged Access Rights ISO 27001:2022 A.8.3 - Information Access Restriction ISO 27001:2022 A.8.6 - Access Control for Special Needs ISO 27001:2022 A.12.4 - Logging

🟣 PCI DSS v4.0.1

PCI DSS 2.1 - Configuration Standards PCI DSS 7.1 - Limit Access to System Components PCI DSS 8.1 - User Identification and Authentication PCI DSS 10.2 - Implement User Access Logging

🔗 المراجع والمصادر 1

🔗

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40381

secure@microsoft.com

Vendor Advisory

📦 المنتجات المتأثرة 1 منتج

microsoft:azure_connected_machine_agent

📊 CVSS Score

7.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.8

CWECWE-284

EPSS0.05%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-12

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

7.8

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-284

🏢 توجيهات البائع

🔗 https://msrc.microsoft.com/update-guide/vulnerabilit...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-40381

عرّفنا بنفسك

تسجيل الدخول مطلوب