CVE-2026-27929: Privilege Escalation in Windows LUAFV
Plataforma
windows
Componente
windows-luafv-filter-driver
Corrigido em
10.0.28000.1836
CVE-2026-27929 describes a time-of-check time-of-use (TOCTOU) race condition vulnerability within the Windows LUAFV Filter Driver. This flaw allows an authenticated attacker to escalate their privileges on the affected system. The vulnerability impacts Windows versions 10.0.14393.0 through 10.0.28000.1836, and a patch is available in version 10.0.28000.1836.
Impacto e Cenários de Ataque
A vulnerabilidade CVE-2026-27929 no Windows 10 versão 1607 representa um risco de escalada de privilégios local. Trata-se de uma condição de corrida de verificação-uso (TOCTOU) dentro do componente LUAFV (Low Update Access File Virtualization). Um atacante autenticado, com acesso ao sistema, poderia explorar esta vulnerabilidade para obter privilégios mais altos do que os que lhe correspondem, comprometendo potencialmente a integridade e a confidencialidade dos dados. A pontuação CVSS de 7.0 indica um risco moderado, mas a possibilidade de escalada de privilégios requer atenção e aplicação da correção fornecida. A vulnerabilidade afeta especificamente a versão 1607 do Windows 10, o que significa que os sistemas atualizados para versões mais recentes podem já estar protegidos. É crucial avaliar o ambiente e aplicar a atualização para mitigar este risco.
Contexto de Exploração
A vulnerabilidade TOCTOU em LUAFV ocorre quando existe uma janela de tempo entre a verificação de uma condição (por exemplo, a existência de um ficheiro) e a sua utilização posterior. Durante este breve período, um atacante pode manipular o ficheiro ou recurso, alterando o resultado da operação e potencialmente obtendo acesso não autorizado. Neste caso, o atacante poderia manipular um ficheiro durante a verificação, permitindo a escalada de privilégios. A necessidade de ser um atacante 'autenticado' implica que o atacante já tem acesso ao sistema, embora limitado. Isto torna a vulnerabilidade mais relevante para ambientes internos onde já existem ameaças internas ou contas comprometidas.
Inteligência de Ameaças
Status do Exploit
EPSS
0.04% (percentil 12%)
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Local — o atacante precisa de sessão local ou shell no sistema.
- Attack Complexity
- Alta — exige condição de corrida, configuração não padrão ou circunstâncias específicas.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A Microsoft lançou uma atualização de segurança (10.0.28000.1836) para corrigir a vulnerabilidade CVE-2026-27929. A aplicação desta atualização é a principal medida de mitigação. Recomenda-se veementemente aos administradores de sistemas que apliquem esta atualização o mais breve possível, especialmente em sistemas que executam o Windows 10 versão 1607. Além disso, recomenda-se rever as políticas de acesso e privilégios dos utilizadores para minimizar o impacto potencial em caso de exploração bem-sucedida. Embora não tenha sido emitido um KEV (Key Elevation Vector), a gravidade da vulnerabilidade justifica uma ação imediata. Recomenda-se monitorizar os registos de eventos do sistema para detetar qualquer atividade suspeita relacionada com a exploração desta vulnerabilidade.
Como corrigirtraduzindo…
Aplica las actualizaciones de seguridad proporcionadas por Microsoft para Windows 10. Estas actualizaciones corrigen una vulnerabilidad de elevación de privilegios en el controlador de virtualización de filtro LUAFV, mitigando el riesgo de que un atacante autorizado pueda obtener privilegios elevados localmente.
Perguntas frequentes
O que é CVE-2026-27929 — Race Condition em Windows LUAFV Filter Driver?
Não, afeta especificamente o Windows 10 versão 1607. As versões mais recentes já devem estar protegidas.
Estou afetado pelo CVE-2026-27929 no Windows LUAFV Filter Driver?
TOCTOU significa 'Time-of-Check Time-of-Use'. É um tipo de vulnerabilidade de corrida onde a condição verificada muda entre a verificação e a utilização.
Como corrijo o CVE-2026-27929 no Windows LUAFV Filter Driver?
Significa que o atacante já tem uma conta de utilizador válida no sistema, embora com privilégios limitados.
O CVE-2026-27929 está sendo explorado ativamente?
Pode descarregar a atualização de segurança a partir do Catálogo de Microsoft Update: [https://www.catalog.update.microsoft.com/](https://www.catalog.update.microsoft.com/) (Pesquisar pela atualização 10.0.28000.1836)
Onde encontro o aviso oficial do Windows LUAFV Filter Driver para o CVE-2026-27929?
Não existem soluções temporárias conhecidas. A aplicação da atualização é a solução recomendada.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Experimente agora — sem conta
Faça upload de qualquer manifesto (composer.lock, package-lock.json, lista de plugins WordPress…) ou cole sua lista de componentes. Receba um relatório de vulnerabilidades instantaneamente. Fazer upload de um arquivo é só o começo: com uma conta, você obtém monitoramento contínuo, alertas por Slack/email, relatórios multiprojeto e white-label.
Arraste e solte seu arquivo de dependências
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...