Gratis scannen
Analyse in behandelingCVE-2026-27929

CVE-2026-27929: Privilege Escalation in Windows LUAFV

Platform

windows

Component

windows-luafv-filter-driver

Opgelost in

10.0.28000.1836

Bekijk op NVD
Opslaan

CVE-2026-27929 describes a time-of-check time-of-use (TOCTOU) race condition vulnerability within the Windows LUAFV Filter Driver. This flaw allows an authenticated attacker to escalate their privileges on the affected system. The vulnerability impacts Windows versions 10.0.14393.0 through 10.0.28000.1836, and a patch is available in version 10.0.28000.1836.

Impact en Aanvalsscenarios

CVE-2026-27929 in Windows 10 versie 1607 vormt een risico op lokale privilege-escalatie. Het is een time-of-check time-of-use (TOCTOU)-conditie binnen de LUAFV (Low Update Access File Virtualization) component. Een geauthenticeerde aanvaller met toegang tot het systeem kan deze kwetsbaarheid uitbuiten om hogere privileges te verkrijgen dan waarvoor hij geautoriseerd is, waardoor de integriteit en vertrouwelijkheid van gegevens mogelijk wordt aangetast. De CVSS-score van 7.0 duidt op een matig risico, maar de mogelijkheid van privilege-escalatie vereist aandacht en het toepassen van de aangeboden fix. De kwetsbaarheid heeft specifiek betrekking op Windows 10 versie 1607, wat betekent dat systemen die naar nieuwere versies zijn bijgewerkt, mogelijk al beschermd zijn. Het is cruciaal om uw omgeving te evalueren en de patch toe te passen om dit risico te beperken.

Uitbuitingscontext

De TOCTOU-kwetsbaarheid in LUAFV treedt op wanneer er een tijdsvenster is tussen het controleren van een voorwaarde (bijvoorbeeld het bestaan van een bestand) en het daaropvolgende gebruik ervan. Gedurende deze korte periode kan een aanvaller het bestand of de bron manipuleren, waardoor de uitkomst van de bewerking verandert en mogelijk ongeautoriseerde toegang wordt verkregen. In dit geval kan de aanvaller een bestand manipuleren tijdens de controle, waardoor een privilege-escalatie mogelijk wordt. De eis van een 'geauthenticeerde' aanvaller betekent dat de aanvaller al toegang heeft tot het systeem, zij het beperkt. Dit maakt de kwetsbaarheid relevanter voor interne omgevingen waar interne bedreigingen of gecompromitteerde accounts al bestaan.

Dreigingsinformatie

Exploit Status

Proof of ConceptOnbekend
CISA KEVNO
InternetblootstellingLaag

EPSS

0.04% (12% percentiel)

CVSS-vector

DREIGINGSINFORMATIE· CVSS 3.1CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H/E:U/RL:O/RC:C7.0HIGHAttack VectorLocalHoe de aanvaller het doel bereiktAttack ComplexityHighVereiste omstandigheden om te exploiterenPrivileges RequiredLowVereist authenticatieniveau voor aanvalUser InteractionNoneOf het slachtoffer actie moet ondernemenScopeUnchangedImpact buiten het getroffen onderdeelConfidentialityHighRisico op blootstelling van gevoelige dataIntegrityHighRisico op ongeautoriseerde gegevenswijzigingAvailabilityHighRisico op verstoring van dienstennextguardhq.com · CVSS v3.1 Basisscore
Wat betekenen deze metrics?
Attack Vector
Lokaal — aanvaller heeft een lokale sessie of shell op het systeem nodig.
Attack Complexity
Hoog — vereist een race condition, niet-standaard configuratie of specifieke omstandigheden.
Privileges Required
Laag — elk geldig gebruikersaccount is voldoende.
User Interaction
Geen — automatische en stille aanval. Slachtoffer doet niets.
Scope
Ongewijzigd — impact beperkt tot het kwetsbare component.
Confidentiality
Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
Integrity
Hoog — aanvaller kan alle gegevens schrijven, aanpassen of verwijderen.
Availability
Hoog — volledige crash of uitputting van resources. Totale denial of service.

Getroffen Software

Componentwindows-luafv-filter-driver
LeverancierMicrosoft
Minimumversie10.0.14393.0
Maximumversie10.0.28000.1836
Opgelost in10.0.28000.1836

Zwakheidsclassificatie (CWE)

CWE-367

Tijdlijn

  1. Gepubliceerd
  2. Gewijzigd
  3. EPSS bijgewerkt

Mitigatie en Workarounds

Microsoft heeft een beveiligingsupdate (10.0.28000.1836) uitgebracht om CVE-2026-27929 te verhelpen. Het toepassen van deze update is de belangrijkste mitigatiemaatregel. Systeembeheerders worden ten zeerste aangeraden om deze update zo snel mogelijk toe te passen, vooral op systemen die Windows 10 versie 1607 draaien. Bovendien wordt aanbevolen om gebruikers toegangs- en machtigingsbeleid te beoordelen om de potentiële impact in geval van succesvolle exploitatie te minimaliseren. Hoewel er geen KEV (Key Elevation Vector) is uitgegeven, rechtvaardigt de ernst van de kwetsbaarheid onmiddellijke actie. Het wordt ook aanbevolen om systeemgebeurtenislogboeken te volgen op verdachte activiteiten die verband houden met de exploitatie van deze kwetsbaarheid.

Hoe te verhelpenwordt vertaald…

Aplica las actualizaciones de seguridad proporcionadas por Microsoft para Windows 10. Estas actualizaciones corrigen una vulnerabilidad de elevación de privilegios en el controlador de virtualización de filtro LUAFV, mitigando el riesgo de que un atacante autorizado pueda obtener privilegios elevados localmente.

Veelgestelde vragen

Wat is CVE-2026-27929 — Race Condition in Windows LUAFV Filter Driver?

Nee, het heeft specifiek betrekking op Windows 10 versie 1607. Nieuwere versies zouden mogelijk al beschermd moeten zijn.

Ben ik getroffen door CVE-2026-27929 in Windows LUAFV Filter Driver?

TOCTOU staat voor 'Time-of-Check Time-of-Use'. Het is een type race condition-kwetsbaarheid waarbij de gecontroleerde voorwaarde verandert tussen de controle en het gebruik.

Hoe los ik CVE-2026-27929 in Windows LUAFV Filter Driver op?

Het betekent dat de aanvaller al een geldig gebruikersaccount op het systeem heeft, hoewel met beperkte privileges.

Wordt CVE-2026-27929 actief misbruikt?

U kunt de beveiligingsupdate downloaden van de Microsoft Update Catalog: [https://www.catalog.update.microsoft.com/](https://www.catalog.update.microsoft.com/) (Zoek naar update 10.0.28000.1836)

Waar vind ik het officiële Windows LUAFV Filter Driver-beveiligingsadvies voor CVE-2026-27929?

Er zijn geen bekende tijdelijke oplossingen. Het toepassen van de update is de aanbevolen oplossing.

Is jouw project getroffen?

Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.

Gratis scannenCVEs zoeken
livefree scan

Probeer het nu — geen account

Upload een manifest (composer.lock, package-lock.json, WordPress pluginlijst…) of plak uw componentenlijst. U ontvangt direct een kwetsbaarheidsrapport. Een bestand uploaden is slechts het begin: met een account krijgt u continue monitoring, Slack/e-mail alerts, multi-project en white-label rapporten.

Manual scanSlack/email alertsscanZone.capMonitorWhite-label reports

Sleep uw afhankelijkheidsbestand hierheen

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...