マイクロソフトは最近、Windowsエラーレポート(WER)サービスの深刻な権限昇格(EoP)脆弱性にパッチを当てました。この脆弱性は公式にはCVE-2026-20817として追跡されています。
この欠陥により、標準ユーザー権限を持つローカル攻撃者が不適切な権限処理を悪用してSYSTEM権限に昇格できます。
脆弱性はあまりに重大だったため、マイクロソフトはロジックを修復しようとするのではなく、影響を受けた機能を完全に削除することを選択しました。
脆弱性の概要
- CVE識別子: CVE-2026-20817。
- 影響を受けるコンポーネント: Windowsエラーレポートサービス、特にWerSvc.dllライブラリ。
- 影響と脅威の種類: 完全なSYSTEMアクセスをもたらすローカル権限昇格。
- 発見者: GMOサイバーセキュリティのDenis FaiustovおよびRuslan Sayfiev。
WerSvc.dllに対してバイナリ差分解析を実施したセキュリティ研究者は、マイクロソフトのアップデートが単に脆弱な関数を中和していることを発見しました。
パッチが当たっていないバージョンとパッチが当たっているバージョンを比較すると、SvcElevatedLaunch関数に直接機能テストが追加されていることが明らかになります。
パッチがアクティブな場合、関数は直ちにエラーコード0x80004005(E_FAIL)を返します。これにより脆弱なパスウェイが事実上無効化され、悪用を完全にブロックします。
脆弱性は、WERサービスが高度なローカル手続きコール(ALPC)メッセージをどのように処理するかに起因しています。サービスが開始すると、\WindowsErrorReportingServicePortエンドポイントでリッスンしているALPCサーバーを作成します。
低権限ユーザーはこのポートに接続し、MessageFlagsの値が0x50000000である特別に作成されたペイロードを送信でき、脆弱なメソッドをトリガーします。
攻撃者は、悪意のある引数を配信するために、共有メモリとして機能するファイルマッピングオブジェクトハンドルを渡す必要があります。
作成されたALPCメッセージが受信されると、WERサービスはクライアントのプロセスを開き、ファイルマッピングハンドルを複製します。
このファイルのビューをマップしてユーザーが制御する入力文字列を読み込みます。サービスはSYSTEMトークンを作成し、CreateProcessAsUserW APIを呼び出してWerFault.exeを起動します。
ALPCクライアントがファイルマッピングバッファを通じて渡されるコマンドラインオプションを制御するため、攻撃者は任意のパラメータを使用してWerFault.exeをSYSTEMとして実行させることができます。
機能的な概念実証(PoC)はセキュリティ研究者itm4nによって公開され、昇格されたコマンドライン実行をトリガーする方法を実証しています。
CVE-2026-20817の偽の潜在的に悪意のあるPoCリポジトリがGitHubにも出現しているため、管理者は注意深くいる必要があります。
幸いなことに、Windows Defenderはこれらの実際の悪用の試みをアクティブに検出します。
WERサービスがクライアントのプロセスIDを偽装して新しいWerFault.exeインスタンスの親として設定するため、Defenderはこの技術を極めて疑わしいとしてフラグを立て、アラートを発生させます。
翻訳元: https://gbhackers.com/windows-error-reporting-vulnerability/
