الثغرات ›

CVE-2026-40420

مرتفع

CWE-284 — نوع الضعف

                    نُشر: May 12, 2026                      ·  آخر تحديث: May 19, 2026                      ·  المصدر: NVD                

CVSS v3

8.8

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Improper access control in Microsoft Office Click-To-Run allows an authorized attacker to elevate privileges locally.

🤖 ملخص AI

CVE-2026-40420 is a high-severity privilege escalation vulnerability in Microsoft Office Click-To-Run that allows authorized local attackers to elevate privileges. With a CVSS score of 8.8 and no patch currently available, this poses significant risk to organizations relying on Microsoft Office. The vulnerability stems from improper access control mechanisms and requires immediate compensating controls implementation.

📄 الوصف (العربية)

🤖 التحليل الذكي آخر تحليل: May 19, 2026 11:48

🇸🇦 التأثير على المملكة العربية السعودية

This vulnerability poses significant risk to Saudi banking sector (SAMA-regulated institutions), government agencies (NCA oversight), healthcare organizations, and energy sector (ARAMCO and subsidiaries). The privilege escalation capability could enable insider threats or compromised user accounts to gain system-level access, potentially leading to data exfiltration, lateral movement, and critical system compromise. Telecom operators (STC, Mobily) and financial institutions are particularly vulnerable due to heavy Microsoft Office deployment.

🏢 القطاعات السعودية المتأثرة

Banking and Financial Services Government and Public Administration Healthcare Energy and Utilities Telecommunications Education Insurance

🎯 تقنيات MITRE ATT&CK

T1548 - Abuse Elevation Control Mechanism T1548.002 - Bypass User Account Control T1134 - Access Token Manipulation T1547 - Boot or Logon Autostart Execution T1547.001 - Registry Run Keys / Startup Folder T1574 - Hijack Execution Flow T1574.008 - DLL Search Order Hijacking

⚖️ درجة المخاطر السعودية (AI)

8.2

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Inventory all Microsoft Office Click-To-Run installations across the organization

2. Restrict local administrative access and enforce principle of least privilege for all user accounts

3. Implement application whitelisting to control Office process execution

4. Enable Windows Defender Application Guard for Office applications

5. Monitor for suspicious Office process behavior and privilege escalation attempts



COMPENSATING CONTROLS:

6. Disable Click-To-Run auto-update temporarily and use MSI-based Office deployment instead if possible

7. Implement strict file access controls on Office installation directories

8. Deploy endpoint detection and response (EDR) solutions with behavioral monitoring

9. Enforce multi-factor authentication for all user accounts to reduce insider threat risk

10. Conduct regular privilege access management (PAM) audits



DETECTION RULES:

- Monitor for Office processes spawning with elevated privileges

- Alert on unusual Office child process creation (cmd.exe, powershell.exe)

- Track modifications to Office installation directories and registry keys

- Monitor for access to SYSTEM-level resources from Office processes

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. حصر جميع تثبيتات Microsoft Office Click-To-Run عبر المنظمة

2. تقييد الوصول الإداري المحلي وفرض مبدأ الامتياز الأدنى لجميع حسابات المستخدمين

3. تنفيذ قائمة التطبيقات المسموحة للتحكم في تنفيذ عمليات Office

4. تفعيل Windows Defender Application Guard لتطبيقات Office

5. مراقبة السلوك المريب لعمليات Office ومحاولات رفع الامتيازات

الضوابط البديلة:

6. تعطيل التحديث التلقائي لـ Click-To-Run مؤقتًا واستخدام نشر Office المستند إلى MSI بدلاً من ذلك

7. تنفيذ ضوابط الوصول الصارمة على دلائل تثبيت Office

8. نشر حلول الكشف والاستجابة للنقاط النهائية (EDR) مع المراقبة السلوكية

9. فرض المصادقة متعددة العوامل لجميع حسابات المستخدمين

10. إجراء عمليات تدقيق منتظمة لإدارة الوصول المميز (PAM)

قواعد الكشف:

- مراقبة عمليات Office التي تعمل بامتيازات مرتفعة

- تنبيهات إنشاء عمليات فرعية غير عادية لـ Office

- تتبع التعديلات على دلائل تثبيت Office ومفاتيح السجل

- مراقبة الوصول إلى موارد مستوى SYSTEM من عمليات Office

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.5.1.1 - Access Control Policy ECC 2024 A.5.2.1 - User Registration and De-registration ECC 2024 A.5.3.1 - Access Rights Review ECC 2024 A.9.2.1 - User Access Management ECC 2024 A.9.4.3 - Password Management

🔵 SAMA CSF

SAMA CSF ID.AM-1 - Asset Management SAMA CSF PR.AC-1 - Access Control Policy SAMA CSF PR.AC-4 - Access Rights Management SAMA CSF DE.CM-1 - System Monitoring SAMA CSF RS.MI-2 - Incident Response Procedures

🟡 ISO 27001:2022

ISO 27001:2022 A.5.3 - Segregation of Duties ISO 27001:2022 A.8.2 - User Access Management ISO 27001:2022 A.8.3 - User Responsibilities ISO 27001:2022 A.9.2 - User Access Rights ISO 27001:2022 A.9.4 - Access Control Review

🟣 PCI DSS v4.0.1

PCI DSS 2.1 - Default Passwords PCI DSS 7.1 - Access Control Implementation PCI DSS 8.1 - User Identification PCI DSS 8.2 - User Authentication

🔗 المراجع والمصادر 1

🔗

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40420

secure@microsoft.com

📊 CVSS Score

8.8

/ 10.0 — مرتفع

📊 CVSS Vector

CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Attack VectorL — Low / Local

Attack ComplexityL — Low / Local

Privileges RequiredL — Low / Local

User InteractionN — None / Network

ScopeC — Changed

ConfidentialityH — High

IntegrityH — High

AvailabilityH — High

📋 حقائق سريعة

الخطورة مرتفع

CVSS Score8.8

CWECWE-284

EPSS0.05%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-12

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

8.2

/ 10.0 — مخاطر السعودية

أولوية: HIGH

🏷️ الوسوم

CWE-284

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-40420

عرّفنا بنفسك

تسجيل الدخول مطلوب