CVE-2026-27917: Elevação de Privilégios em Windows WFP NDIS
Plataforma
windows
Componente
wfplwfs
Corrigido em
10.0.28000.1836
Uma vulnerabilidade de uso após liberação foi descoberta no driver WFP NDIS Lightweight Filter (wfplwfs.sys) do Windows. Essa falha permite que um atacante autorizado eleve seus privilégios localmente, potencialmente comprometendo a integridade do sistema. Versões do Windows afetadas incluem aquelas anteriores ou iguais a 10.0.28000.1836. A Microsoft lançou uma correção nesta versão.
Impacto e Cenários de Ataque
A exploração bem-sucedida desta vulnerabilidade permite a um atacante com acesso local obter privilégios mais elevados no sistema Windows. Isso pode resultar na capacidade de executar código arbitrário com privilégios de sistema, acessar dados confidenciais, instalar malware ou desabilitar controles de segurança. O impacto é significativo, pois um atacante pode efetivamente assumir o controle do sistema afetado. Embora não haja relatos públicos de exploração ativa, a natureza da vulnerabilidade (elevação de privilégios local) a torna um alvo atraente para atacantes internos ou aqueles que já obtiveram acesso inicial ao sistema.
Contexto de Exploração
A vulnerabilidade foi publicada em 14 de abril de 2026. A probabilidade de exploração é considerada média, devido à necessidade de acesso local e à complexidade potencial da exploração. Não há evidências de que esta vulnerabilidade esteja sendo ativamente explorada em campanhas direcionadas no momento da publicação. A vulnerabilidade não está listada no KEV (Known Exploited Vulnerabilities) da CISA.
Inteligência de Ameaças
Status do Exploit
EPSS
0.04% (percentil 14%)
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Local — o atacante precisa de sessão local ou shell no sistema.
- Attack Complexity
- Alta — exige condição de corrida, configuração não padrão ou circunstâncias específicas.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação primária para esta vulnerabilidade é aplicar a atualização de segurança fornecida pela Microsoft na versão 10.0.28000.1836 ou superior. Antes de aplicar a atualização, é recomendável fazer um backup completo do sistema. Se a atualização causar problemas de compatibilidade, considere a possibilidade de reverter para uma versão anterior do sistema operacional, se possível. Não existem configurações de WAF ou proxies que possam mitigar diretamente esta vulnerabilidade, pois ela reside no kernel do Windows. Monitore os logs de eventos do Windows em busca de atividades suspeitas relacionadas à elevação de privilégios.
Como corrigirtraduzindo…
Aplica las actualizaciones de seguridad proporcionadas por Microsoft para Windows 10. Estas actualizaciones corrigen la vulnerabilidad de uso después de liberar en el controlador WFP NDIS Lightweight Filter Driver, previniendo la posible elevación de privilegios.
Perguntas frequentes
O que é CVE-2026-27917 — Elevação de Privilégios em Windows WFP NDIS?
CVE-2026-27917 é uma vulnerabilidade de uso após liberação no driver WFP NDIS Lightweight Filter do Windows, permitindo a elevação de privilégios localmente. Atinge versões ≤10.0.28000.1836, e a correção está disponível na versão 10.0.28000.1836.
Estou afetado pelo CVE-2026-27917 em Windows WFP NDIS?
Sim, se você estiver utilizando uma versão do Windows anterior ou igual a 10.0.28000.1836, você está potencialmente afetado por esta vulnerabilidade. Verifique a versão do seu sistema e aplique a atualização de segurança.
Como corrigir CVE-2026-27917 em Windows WFP NDIS?
A correção é aplicar a atualização de segurança da Microsoft disponível na versão 10.0.28000.1836 ou superior. Faça um backup completo do sistema antes de aplicar a atualização.
CVE-2026-27917 está sendo ativamente explorado?
Atualmente, não há evidências de que CVE-2026-27917 esteja sendo ativamente explorado em campanhas direcionadas, mas a vulnerabilidade representa um risco significativo devido à sua natureza de elevação de privilégios.
Onde posso encontrar o aviso oficial da Microsoft para CVE-2026-27917?
Consulte o site da Microsoft Security Response Center (MSRC) para obter informações detalhadas e o aviso oficial sobre CVE-2026-27917. A página do aviso será publicada após a data de publicação da vulnerabilidade.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...