新たに文書化されたWindowsの脆弱性(CVE-2026-20817)は、Windows Error Reporting Service(WER)に影響し、ローカルでの権限昇格を可能にします。
この問題が重要なのは、WERがNT AUTHORITY\SYSTEMとして動作しているためで、権限チェックの誤りはデバイスの完全な乗っ取りへ直結する経路になり得ます。
研究者によると、WERはALPCポート経由でクライアント要求を待ち受けており、ヘルパープロセスを起動できるコードパスが含まれています。
脆弱なエントリポイントは CWerService::SvcElevatedLaunch と説明されており、呼び出し元の認可を検証せずにプロセス作成要求を処理するため、CWE-280の「不十分な権限処理」パターンに該当します。
| 項目 | 詳細 |
|---|---|
| CVE ID | CVE-2026-20817 |
| 脆弱なコンポーネント | wersvc.dll(Windows Error Reporting Service) |
| 脆弱性の種類 | 権限昇格(ローカル) |
| CWE | CWE-280(不十分な権限または特権の不適切な処理) |
| CVSS v3.1 | 7.8(高) |
実際には、標準ユーザーが細工した要求を送信することで、WERにその要求が信頼されたものとして処理させることができます。
78ResearchLabのブログ分析ではさらに、WERがクライアントが制御する共有メモリ領域からコマンドラインデータを取得し、それを昇格したプロセス作成ルーチンへ転送すると指摘しています。
さらに詳しく
安全なデータ管理
セキュリティ意識向上トレーニング
セキュアメールゲートウェイソリューション
VPNサービス
エシカルハッキングの書籍
不正検知ソフトウェア
エクスプロイト
インシデント対応計画サービス
Metasploit Frameworkへのアクセス
インシデント対応計画
その結果、攻撃者は実行ファイルをWerFault.exe/WerMgr.exeといったWindowsコンポーネントに固定したまま、最大520バイト分のコマンドライン引数を完全に制御できます。
トークン作成の経路では、SeTcbPrivilegeが削除されたSYSTEMベースのトークンが生成される場合もありますが、それでも一般的な侵害後の操作を支えるには十分強力です。
修正面では、研究で説明されているMicrosoftの緩和策は、関数内に権限チェックを追加するのではなく、機能フラグを用いて脆弱な起動機能を無効化するものです。
2026年1月のセキュリティ更新に関するパッチガイダンスでは、CVE-2026-20817を、管理者が迅速に対処すべき権限昇格の問題として挙げています。
推奨されるテレメトリには、WerFault.exeまたはWerMgr.exeが疑わしいコマンドラインとともに現れる異常なプロセス作成や、異常なトークン特性(例:SeTcbPrivilegeが存在しない一方で昇格権限が付与されている)を監視することが含まれます。
すぐにパッチを適用できない組織は、WER関連のプロセスツリーに関するエンドポイント検知を優先し、低権限ユーザーの活動がWERに紐づくSYSTEMコンテキストの子プロセスを生じさせていないかを調査すべきです。
翻訳元: https://gbhackers.com/windows-error-reporting-flaw/
