Gratis scannen
Analyse in behandelingCVE-2026-27917

CVE-2026-27917: Privilege Escalation in Windows WFP Driver

Platform

windows

Component

wfplwfs

Opgelost in

10.0.28000.1836

Bekijk op NVD
Opslaan

CVE-2026-27917 describes a use-after-free vulnerability discovered in the Windows WFP NDIS Lightweight Filter Driver (wfplwfs.sys). This flaw allows an authenticated attacker to escalate their privileges on the affected system. The vulnerability impacts Windows versions 10 and later, specifically those with build numbers less than or equal to 10.0.28000.1836. Microsoft has released a security update to address this issue.

Impact en Aanvalsscenarios

CVE-2026-27917 heeft invloed op Windows 10 versie 1607 en krijgt een CVSS-score van 7.0, wat een gemiddeld risico aangeeft. Het is een 'use-after-free' kwetsbaarheid in de Windows WFP NDIS Lightweight Filter Driver (wfplwfs.sys). Een geauthenticeerde aanvaller, met toegang tot het systeem, kan deze kwetsbaarheid uitbuiten om lokaal zijn privileges te verhogen. Dit betekent dat een gebruiker met beperkte privileges ongeautoriseerde toegang kan krijgen tot systeemresources en -functionaliteiten, waardoor de algehele beveiliging in gevaar komt. De ernst van het risico ligt in de mogelijkheid van een gerichte lokale aanval, die kan leiden tot een compromittering van het systeem.

Uitbuitingscontext

Het exploiteren van deze kwetsbaarheid vereist dat een aanvaller is geauthenticeerd op het getroffen systeem. Dit betekent dat de aanvaller een geldig gebruikersaccount moet hebben, zelfs als het slechts beperkte privileges heeft. De aanvaller kan een bestaande toegang benutten of een gebruikersaccount compromitteren om de fout te exploiteren. De wfplwfs.sys driver is een fundamenteel onderdeel van het Windows-filtersysteem, waardoor het een aantrekkelijk doelwit is voor aanvallers. De 'use-after-free' aard van de kwetsbaarheid stelt de aanvaller in staat om het systeemgeheugen te manipuleren, wat kan leiden tot de uitvoering van willekeurige code en privilege-escalatie.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingLaag

EPSS

0.04% (14% percentiel)

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C7.0HIGHAttack VectorLocalHoe de aanvaller het doel bereiktAttack ComplexityHighVereiste omstandigheden om te exploiterenPrivileges RequiredLowVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityHighRisico op blootstelling van gevoelige dataIntegrityHighRisico op ongeautoriseerde gegevenswijzigingAvailabilityHighRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Lokaal — aanvaller heeft een lokale sessie of shell op het systeem nodig.
Attack Complexity
Hoog — vereist een race condition, niet-standaard configuratie of specifieke omstandigheden.
Privileges Required
Laag — elk geldig gebruikersaccount is voldoende.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
Integrity
Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
Availability
Hoog — volledige crash of uitputting van resources. Totale denial of service.

Getroffen Software

Componentwfplwfs
LeverancierMicrosoft
Maximumversie10.0.28000.1836
Opgelost in10.0.28000.1836

Zwakheidsclassificatie (CWE)

CWE-416

Tijdlijn

  1. Gepubliceerd
  2. Gewijzigd
  3. EPSS bijgewerkt

Mitigatie en Workarounds

Microsoft heeft een beveiligingsupdate (versie 10.0.28000.1836) uitgebracht om deze kwetsbaarheid te verhelpen. Het wordt ten zeerste aanbevolen om deze update zo snel mogelijk op alle Windows 10 versie 1607 systemen te installeren. Controleer bovendien de toegangscontrole- en privilegebeleidsregels om ervoor te zorgen dat gebruikers alleen de benodigde rechten hebben om hun taken uit te voeren. Het monitoren van systeemactiviteit op ongebruikelijk gedrag kan ook helpen bij het detecteren en voorkomen van potentiële aanvallen. Hoewel er geen bijbehorend Key Event (KEV) is voor deze kwetsbaarheid, is het toepassen van de update cruciaal voor risicobeperking.

Hoe te verhelpenwordt vertaald…

Aplica las actualizaciones de seguridad proporcionadas por Microsoft para Windows 10. Estas actualizaciones corrigen la vulnerabilidad de uso después de liberar en el controlador WFP NDIS Lightweight Filter Driver, previniendo la posible elevación de privilegios.

Veelgestelde vragen

Wat is CVE-2026-27917 — Use-After-Free in Windows WFP NDIS Lightweight Filter Driver?

Het is een programmeerfout die optreedt wanneer een programma probeert toegang te krijgen tot een geheugenlocatie die al is vrijgegeven. Dit kan leiden tot onvoorspelbaar gedrag en in sommige gevallen een aanvaller in staat stellen kwaadaardige code uit te voeren.

Ben ik getroffen door CVE-2026-27917 in Windows WFP NDIS Lightweight Filter Driver?

Over het algemeen wel. Het wordt aanbevolen om het systeem opnieuw op te starten om ervoor te zorgen dat de update correct wordt geïnstalleerd en dat alle systeemcomponenten worden bijgewerkt.

Hoe los ik CVE-2026-27917 in Windows WFP NDIS Lightweight Filter Driver op?

U kunt controleren op Windows-updates door naar Instellingen > Bijwerken en beveiliging > Windows Update te gaan.

Wordt CVE-2026-27917 actief misbruikt?

Als u vermoedt dat uw systeem is gecompromitteerd, koppel het dan onmiddellijk los van het netwerk en neem contact op met een cybersecurityprofessional voor hulp bij het onderzoeken en oplossen van de situatie.

Waar vind ik het officiële Windows WFP NDIS Lightweight Filter Driver-beveiligingsadvies voor CVE-2026-27917?

Beveiligingsscantools kunnen deze kwetsbaarheid detecteren. Raadpleeg uw beveiligingsprovider voor meer informatie.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...