Gratis scannen
Analyse in behandelingCVE-2026-27908

CVE-2026-27908: Privilege Escalation in Windows TDI Driver

Platform

windows

Component

tdx

Opgelost in

10.0.28000.1836

Bekijk op NVD
Opslaan

CVE-2026-27908 describes a use-after-free vulnerability discovered in the Windows TDI Translation Driver (tdx.sys). This flaw allows a local, authenticated attacker to escalate their privileges on the affected system. The vulnerability impacts Windows 10 versions ranging from 10.0.14393.0 to 10.0.28000.1836. Microsoft has released a patch in version 10.0.28000.1836 to address this issue.

Impact en Aanvalsscenarios

CVE-2026-27908 is een 'use-after-free' kwetsbaarheid in de Windows TDI Translation Driver (tdx.sys) die Windows 10 versie 1607 treft. Deze kwetsbaarheid stelt een geauthenticeerde aanvaller met lokale toegang in staat om zijn privileges op het systeem te verhogen. De CVSS-score is 7.0, wat een gemiddeld-hoog risico aangeeft. Een 'use-after-free' treedt op wanneer een programma probeert toegang te krijgen tot geheugen dat al is vrijgegeven, wat kan leiden tot systeemcrashes, willekeurige code-uitvoering of data corruptie. In dit geval zou een aanvaller deze kwetsbaarheid kunnen uitbuiten om de controle over het getroffen systeem te krijgen. Het is cruciaal om de beveiligingsupdate die door Microsoft is uitgebracht toe te passen om dit risico te beperken.

Uitbuitingscontext

Het exploiteren van deze kwetsbaarheid vereist dat de aanvaller lokale toegang heeft tot het getroffen systeem. Dit betekent dat de aanvaller een geauthenticeerde gebruiker op het systeem moet zijn of toegang heeft tot een gebruikersaccount. De aanvaller kan de kwetsbaarheid uitbuiten door speciaal ontworpen pakketten naar de TDI Translation Driver te sturen. De complexiteit van de exploitatie kan variëren afhankelijk van de systeemconfiguratie en de beveiligingsmaatregelen die zijn geïmplementeerd. De aard van de 'use-after-free' kwetsbaarheid maakt het echter een aantrekkelijk doelwit voor aanvallers, vooral degenen met ervaring in driver-exploitatie.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingLaag

EPSS

0.06% (19% percentiel)

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C7.0HIGHAttack VectorLocalHoe de aanvaller het doel bereiktAttack ComplexityHighVereiste omstandigheden om te exploiterenPrivileges RequiredLowVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityHighRisico op blootstelling van gevoelige dataIntegrityHighRisico op ongeautoriseerde gegevenswijzigingAvailabilityHighRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Lokaal — aanvaller heeft een lokale sessie of shell op het systeem nodig.
Attack Complexity
Hoog — vereist een race condition, niet-standaard configuratie of specifieke omstandigheden.
Privileges Required
Laag — elk geldig gebruikersaccount is voldoende.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
Integrity
Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
Availability
Hoog — volledige crash of uitputting van resources. Totale denial of service.

Getroffen Software

Componenttdx
LeverancierMicrosoft
Minimumversie10.0.14393.0
Maximumversie10.0.28000.1836
Opgelost in10.0.28000.1836

Zwakheidsclassificatie (CWE)

CWE-416

Tijdlijn

  1. Gepubliceerd
  2. Gewijzigd
  3. EPSS bijgewerkt

Mitigatie en Workarounds

Microsoft heeft een beveiligingsupdate (versie 10.0.28000.1836) uitgebracht om deze kwetsbaarheid te verhelpen. Gebruikers van Windows 10 versie 1607 worden ten zeerste aangeraden om deze update zo snel mogelijk te installeren. De update vervangt de TDI Translation Driver (tdx.sys) door een gecorrigeerde versie die de 'use-after-free' conditie voorkomt. Bovendien wordt aanbevolen om beveiligingsbest practices te volgen, zoals het up-to-date houden van het besturingssysteem en de software, sterke wachtwoorden gebruiken en de firewall inschakelen. Het monitoren van systeemlogboeken op verdachte activiteiten kan ook helpen aanvallen te detecteren en te voorkomen. Een KEV is niet beschikbaar voor deze kwetsbaarheid.

Hoe te verhelpenwordt vertaald…

Aplica las actualizaciones de seguridad proporcionadas por Microsoft para tu versión de Windows. Estas actualizaciones corrigen la vulnerabilidad de uso después de liberar en el controlador de traducción TDI (tdx.sys), previniendo la posible elevación de privilegios.

Veelgestelde vragen

Wat is CVE-2026-27908 — Use-After-Free in Windows TDI Translation Driver (tdx.sys)?

Het is een programmeerfout die optreedt wanneer een programma probeert toegang te krijgen tot geheugen dat al is vrijgegeven.

Ben ik getroffen door CVE-2026-27908 in Windows TDI Translation Driver (tdx.sys)?

U kunt Windows Updates controleren in de Windows Update-instellingen.

Hoe los ik CVE-2026-27908 in Windows TDI Translation Driver (tdx.sys) op?

Het betekent dat de aanvaller geauthenticeerd moet zijn op het systeem of toegang moet hebben tot een gebruikersaccount.

Wordt CVE-2026-27908 actief misbruikt?

Deze kwetsbaarheid is specifiek geïdentificeerd in Windows 10 versie 1607. Andere versies kunnen andere kwetsbaarheden hebben.

Waar vind ik het officiële Windows TDI Translation Driver (tdx.sys)-beveiligingsadvies voor CVE-2026-27908?

U kunt meer informatie vinden op de website van de Microsoft Security Update Guide.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...