Windows エラー報告(WER)サービスのローカル権限昇格の脆弱性 CVE-2026-20817 に対する概念実証(PoC)エクスプロイトが公開されました。この脆弱性により、低権限ユーザーは特別に細工された ALPC メッセージを通じてシステムレベルのアクセス権を取得できます。
この脆弱性は Windows エラー報告サービスの中核 DLL である wersvc.dll に存在しており、NT AUTHORITY\SYSTEM コンテキストで実行され、Advanced Local Procedure Call(ALPC)ポート経由でクラッシュレポートを処理しています。
CWE-280(不十分な権限またはアクセス権の不適切な処理)に分類されるこの欠陥は、CVSS v3.1 ベーススコアが 7.8 で、機密性、整合性、可用性への高い影響を反映しています。
この脆弱性は、以下のオペレーティングシステムのパッチが適用されていないバージョンに影響を与えます:
概念実証のデモンストレーションで、標準ユーザーが WER ALPC ポート経由で SYSTEM レベルのプロセスを生成することができた Windows 11 23H2 での悪用 が確認されました。
セキュリティチームは以下の指標を監視する必要があります:
組織は Windows Update 経由で 2026 年 1 月のセキュリティパッチを直ちに適用すべきです。即座にパッチを適用できない場合は、WER サービスを一時的に無効にすることが回避策となります:
追加的な強化対策としては、重要なシステムへのローカルログオン権の制限、アプリケーションホワイトリストポリシーの実装、Sysmon と拡張プロセス監査を使用した権限昇格パターンの監視、およびエンドポイント全体での SYSTEM トークンの整合性検証が含まれます。
確認されたワイルド環境での悪用報告はありませんが、機能的な PoC の公開利用可能性により、アクティブな悪用のリスクが大幅に増加します。
翻訳元: https://cyberpress.org/poc-exploit-released-for-microsoft-windows/