الثغرات ›

CVE-2026-40397

مرتفع

CWE-191 — نوع الضعف

                    نُشر: May 12, 2026                      ·  آخر تحديث: May 19, 2026                      ·  المصدر: NVD                

CVSS v3

7.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Integer underflow (wrap or wraparound) in Windows Common Log File System Driver allows an authorized attacker to elevate privileges locally.

🤖 ملخص AI

CVE-2026-40397 is a high-severity integer underflow vulnerability in Windows Common Log File System Driver affecting multiple Windows 10 versions. An authorized local attacker can exploit this flaw to escalate privileges, potentially gaining system-level access. With no patch currently available, immediate compensating controls and monitoring are critical for Saudi organizations running affected Windows versions.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 19, 2026 00:17

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability poses significant risk to Saudi government agencies, banking sector (SAMA-regulated institutions), healthcare facilities, and energy sector organizations (ARAMCO, downstream operators) that rely on Windows 10 infrastructure. Government entities under NCA oversight and financial institutions under SAMA supervision are particularly vulnerable. The privilege escalation capability could enable lateral movement within critical infrastructure networks, potentially compromising SCADA systems, financial transaction processing, and classified government systems. Telecom operators (STC, Mobily, Zain) managing network infrastructure are also at risk.

🏢 القطاعات السعودية المتأثرة

Government & Public Administration Banking & Financial Services Healthcare & Medical Facilities Energy & Oil/Gas (ARAMCO, downstream) Telecommunications (STC, Mobily, Zain) Defense & Military Critical Infrastructure Education & Universities

🎯 تقنيات MITRE ATT&CK

T1548.004 - Abuse Elevation Control Mechanism: Elevated Execution with Prompt T1547.008 - Boot or Logon Autostart Execution: Kernel Modules and Extensions T1134.003 - Access Token Manipulation: Make and Impersonate Token T1543.003 - Create or Modify System Process: Windows Service T1611 - Escape to Host (container/VM escape if applicable)

⚖️ درجة المخاطر السعودية (AI)

7.8

/ 10.0

🔧 Remediation Steps (English)

Immediate Actions:

1. Inventory all Windows 10 systems (versions 1607, 1809, 21H2, 22H2) across your organization

2. Restrict local administrative access and enforce principle of least privilege

3. Disable or restrict access to Common Log File System Driver if not operationally required

4. Implement application whitelisting to prevent unauthorized privilege escalation attempts



Compensating Controls (until patch available):

5. Deploy Windows Defender Exploit Guard with Attack Surface Reduction rules enabled

6. Enable Credential Guard on Windows 10 21H2 and 22H2 systems to protect cached credentials

7. Implement Device Guard/Code Integrity policies to restrict driver loading

8. Monitor and audit all local privilege escalation attempts



Detection Rules:

9. Monitor for suspicious calls to Common Log File System Driver (clfs.sys)

10. Alert on unexpected privilege escalation events (Event ID 4688 with elevated token claims)

11. Track failed and successful attempts to load unsigned drivers

12. Monitor registry modifications related to driver policies



Patching Strategy:

13. Subscribe to Microsoft Security Updates and apply KB patches immediately upon release

14. Prioritize patching for systems in critical infrastructure and government networks

15. Test patches in isolated environments before enterprise deployment

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. حصر جميع أنظمة Windows 10 (الإصدارات 1607، 1809، 21H2، 22H2) عبر المنظمة

2. تقييد الوصول الإداري المحلي وتطبيق مبدأ أقل امتياز

3. تعطيل أو تقييد الوصول إلى برنامج تشغيل نظام ملفات السجل المشترك إن لم يكن مطلوباً

4. تطبيق القائمة البيضاء للتطبيقات لمنع محاولات رفع الامتيازات غير المصرح بها

الضوابط التعويضية (حتى توفر التصحيح):

5. نشر Windows Defender Exploit Guard مع تفعيل قواعد تقليل سطح الهجوم

6. تفعيل Credential Guard على أنظمة Windows 10 21H2 و22H2

7. تطبيق سياسات Device Guard/Code Integrity لتقييد تحميل برامج التشغيل

8. مراقبة وتدقيق جميع محاولات رفع الامتيازات المحلية

قواعد الكشف:

9. مراقبة الاستدعاءات المريبة إلى برنامج تشغيل نظام ملفات السجل المشترك

10. تنبيهات على أحداث رفع الامتيازات غير المتوقعة

11. تتبع محاولات تحميل برامج التشغيل غير الموقعة

12. مراقبة تعديلات السجل المتعلقة بسياسات برامج التشغيل

استراتيجية التصحيح:

13. الاشتراك في تحديثات أمان Microsoft وتطبيق التصحيحات فوراً عند إصدارها

14. أولويات التصحيح للأنظمة في البنية التحتية الحرجة والشبكات الحكومية

15. اختبار التصحيحات في بيئات معزولة قبل النشر على مستوى المؤسسة

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.5.1.1 - Access Control Policies (privilege escalation prevention) ECC 2024 A.5.2.1 - User Registration and De-registration (least privilege enforcement) ECC 2024 A.8.1.1 - Asset Inventory and Control (Windows system inventory) ECC 2024 A.12.2.1 - Change Management (patch deployment procedures) ECC 2024 A.12.6.1 - Management of Technical Vulnerabilities (vulnerability remediation)

🔵 SAMA CSF

SAMA CSF ID.AM-2 - Hardware and Software Assets (inventory of affected systems) SAMA CSF PR.AC-1 - Access Control Policy (least privilege, privilege escalation prevention) SAMA CSF PR.PT-2 - Protective Technology (exploit guard, code integrity policies) SAMA CSF DE.CM-1 - Detection Processes (monitoring for privilege escalation) SAMA CSF RS.MI-2 - Incident Mitigation (compensating controls implementation)

🟡 ISO 27001:2022

ISO 27001:2022 A.5.3 - Segregation of Duties (privilege management) ISO 27001:2022 A.8.1 - User Endpoint Devices (Windows system security) ISO 27001:2022 A.8.2 - Privileged Access Rights (least privilege enforcement) ISO 27001:2022 A.8.3 - Information Access Restriction (access control) ISO 27001:2022 A.14.2 - System Development and Change Management (patch management)

🟣 PCI DSS v4.0.1

PCI DSS 2.2.4 - Configure system security parameters (driver and OS hardening) PCI DSS 6.2 - Ensure security patches are installed (patch management) PCI DSS 7.1 - Limit access to system components (privilege escalation prevention) PCI DSS 10.2 - Implement automated audit trails (privilege escalation monitoring)

🔗 المراجع والمصادر 1

🔗

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40397

secure@microsoft.com

Vendor Advisory

📦 المنتجات المتأثرة 25 منتج

microsoft:windows_10_1607

microsoft:windows_10_1809

microsoft:windows_10_21h2

microsoft:windows_10_22h2

microsoft:windows_11_23h2

microsoft:windows_11_24h2

microsoft:windows_11_25h2

microsoft:windows_11_26h1

microsoft:windows_server_2012:-

microsoft:windows_server_2012:r2

microsoft:windows_server_2016

microsoft:windows_server_2019

microsoft:windows_server_2022

microsoft:windows_server_2022_23h2

microsoft:windows_server_2025

📊 CVSS Score

7.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score7.8

CWECWE-191

EPSS0.07%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-12

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

7.8

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-191

🏢 توجيهات البائع

🔗 https://msrc.microsoft.com/update-guide/vulnerabilit...

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-40397

عرّفنا بنفسك

تسجيل الدخول مطلوب