CVE-2026-27929: Race Condition no Driver LUAFV do Windows
Plataforma
windows
Componente
windows-luafv-filter-driver
Corrigido em
10.0.28000.1836
Uma vulnerabilidade de condição de corrida Time-of-Check Time-of-Use (TOCTOU) foi descoberta no driver LUAFV (Lua Virtual Filter) do Windows. Essa falha permite que um atacante autorizado eleve seus privilégios localmente, explorando uma janela de tempo entre a verificação e o uso de dados. As versões afetadas incluem o Windows 10, abrangendo desde a versão 10.0.14393.0 até a 10.0.28000.1836. A Microsoft lançou uma correção na versão 10.0.28000.1836.
Impacto e Cenários de Ataque
A exploração bem-sucedida desta vulnerabilidade permite a um atacante com acesso autorizado ao sistema elevar seus privilégios para um nível superior, potencialmente obtendo controle total sobre o sistema afetado. Um atacante poderia, por exemplo, obter acesso a dados confidenciais, instalar malware ou modificar configurações do sistema. A natureza TOCTOU da vulnerabilidade exige que o atacante manipule o sistema durante uma janela de tempo específica, tornando a exploração mais complexa, mas ainda viável. Embora não haja relatos públicos de exploração ativa, a possibilidade de escalonamento de privilégios localmente representa um risco significativo para a segurança do sistema.
Contexto de Exploração
A vulnerabilidade CVE-2026-27929 foi publicada em 14 de abril de 2026. A probabilidade de exploração é considerada média, devido à complexidade inerente às condições de corrida TOCTOU e à necessidade de acesso autorizado ao sistema. Atualmente, não há provas públicas de exploração ativa, mas a natureza da vulnerabilidade a torna um alvo potencial para atacantes com conhecimento técnico. A CISA e o NVD ainda estão avaliando a vulnerabilidade.
Inteligência de Ameaças
Status do Exploit
EPSS
0.04% (percentil 12%)
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Local — o atacante precisa de sessão local ou shell no sistema.
- Attack Complexity
- Alta — exige condição de corrida, configuração não padrão ou circunstâncias específicas.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação primária para esta vulnerabilidade é a aplicação da atualização de segurança fornecida pela Microsoft na versão 10.0.28000.1836. Antes de aplicar a atualização, é recomendado realizar um backup completo do sistema para permitir a reversão em caso de problemas. Como medida temporária, a implementação de controles de acesso rigorosos e o monitoramento contínuo da atividade do sistema podem ajudar a detectar e prevenir tentativas de exploração. A revisão e o fortalecimento das políticas de privilégios de usuário também são recomendados para limitar o impacto potencial de uma exploração bem-sucedida. Após a atualização, confirme a correção verificando a versão do driver LUAFV.
Como corrigirtraduzindo…
Aplica las actualizaciones de seguridad proporcionadas por Microsoft para Windows 10. Estas actualizaciones corrigen una vulnerabilidad de elevación de privilegios en el controlador de virtualización de filtro LUAFV, mitigando el riesgo de que un atacante autorizado pueda obtener privilegios elevados localmente.
Perguntas frequentes
O que é CVE-2026-27929 — Race Condition no driver LUAFV do Windows?
É uma vulnerabilidade de condição de corrida TOCTOU no driver LUAFV do Windows que permite a elevação de privilégios localmente por um atacante autorizado.
Estou afetado por CVE-2026-27929 no Windows?
Se você estiver executando o Windows 10 nas versões entre 10.0.14393.0 e 10.0.28000.1836, você pode estar afetado. Verifique a versão do seu sistema.
Como corrigir CVE-2026-27929 no Windows?
Aplique a atualização de segurança da Microsoft na versão 10.0.28000.1836. Faça um backup antes de atualizar.
CVE-2026-27929 está sendo ativamente explorado?
Atualmente, não há evidências públicas de exploração ativa, mas a vulnerabilidade representa um risco potencial.
Onde posso encontrar o aviso oficial do Windows para CVE-2026-27929?
Consulte o site da Microsoft Security Response Center (MSRC) para obter informações oficiais e o aviso de segurança relacionado.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...