CVE-2026-27917: Privilege Escalation in Windows WFP Driver
Plataforma
windows
Componente
wfplwfs
Corrigido em
10.0.28000.1836
CVE-2026-27917 describes a use-after-free vulnerability discovered in the Windows WFP NDIS Lightweight Filter Driver (wfplwfs.sys). This flaw allows an authenticated attacker to escalate their privileges on the affected system. The vulnerability impacts Windows versions 10 and later, specifically those with build numbers less than or equal to 10.0.28000.1836. Microsoft has released a security update to address this issue.
Impacto e Cenários de Ataque
A vulnerabilidade CVE-2026-27917 afeta o Windows 10 versão 1607 e é classificada com um CVSS de 7.0, indicando um risco médio. Trata-se de uma falha de 'uso após liberação' (use-after-free) no driver de filtro leve NDIS do Windows WFP (wfplwfs.sys). Um atacante autenticado, com acesso ao sistema, poderia explorar esta vulnerabilidade para elevar seus privilégios localmente. Isso significa que um usuário com privilégios limitados poderia obter acesso não autorizado a recursos e funcionalidades do sistema, comprometendo a segurança geral. A gravidade do risco reside na possibilidade de um ataque local direcionado, que poderia resultar na tomada de controle do sistema.
Contexto de Exploração
A exploração desta vulnerabilidade requer que um atacante esteja autenticado no sistema afetado. Isso implica que o atacante deve ter uma conta de usuário válida, mesmo que seja com privilégios limitados. O atacante poderia aproveitar um acesso existente ou comprometer uma conta de usuário para explorar a falha. O driver wfplwfs.sys é um componente fundamental do sistema de filtragem do Windows, tornando-o um alvo atraente para os atacantes. A natureza 'uso após liberação' da falha permite que o atacante manipule a memória do sistema, o que pode levar à execução de código arbitrário e à elevação de privilégios.
Inteligência de Ameaças
Status do Exploit
EPSS
0.04% (percentil 14%)
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Local — o atacante precisa de sessão local ou shell no sistema.
- Attack Complexity
- Alta — exige condição de corrida, configuração não padrão ou circunstâncias específicas.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A Microsoft lançou uma atualização de segurança (versão 10.0.28000.1836) para corrigir esta vulnerabilidade. Recomenda-se fortemente aplicar esta atualização a todos os sistemas Windows 10 versão 1607 o mais rápido possível. Além disso, recomenda-se revisar as políticas de controle de acesso e privilégios para garantir que os usuários tenham apenas as permissões necessárias para realizar suas tarefas. Monitorar a atividade do sistema em busca de comportamentos anômalos também pode ajudar a detectar e prevenir possíveis ataques. Embora não haja um KEV (Key Event) associado a esta vulnerabilidade, a aplicação da atualização é crucial para mitigar o risco.
Como corrigirtraduzindo…
Aplica las actualizaciones de seguridad proporcionadas por Microsoft para Windows 10. Estas actualizaciones corrigen la vulnerabilidad de uso después de liberar en el controlador WFP NDIS Lightweight Filter Driver, previniendo la posible elevación de privilegios.
Perguntas frequentes
O que é CVE-2026-27917 — Use-After-Free em Windows WFP NDIS Lightweight Filter Driver?
É um erro de programação que ocorre quando um programa tenta acessar um local de memória que já foi liberado. Isso pode levar a um comportamento imprevisível e, em alguns casos, permitir que um atacante execute código malicioso.
Estou afetado pelo CVE-2026-27917 no Windows WFP NDIS Lightweight Filter Driver?
Geralmente, sim. Recomenda-se reiniciar o sistema para garantir que a atualização seja aplicada corretamente e que todos os componentes do sistema sejam atualizados.
Como corrijo o CVE-2026-27917 no Windows WFP NDIS Lightweight Filter Driver?
Você pode verificar as atualizações do Windows acessando Configurações > Atualização e segurança > Windows Update.
O CVE-2026-27917 está sendo explorado ativamente?
Se você suspeitar que seu sistema foi comprometido, desconecte-o da rede imediatamente e entre em contato com um profissional de segurança de TI para ajudá-lo a investigar e remediar a situação.
Onde encontro o aviso oficial do Windows WFP NDIS Lightweight Filter Driver para o CVE-2026-27917?
Ferramentas de verificação de vulnerabilidades de segurança podem detectar esta vulnerabilidade. Consulte seu provedor de segurança para obter mais informações.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...