マイクロソフトは、攻撃者が権限をエスカレートしてSYSTEMへの完全なアクセスを得ることを可能にしていた重大なWindowsエラー報告(WER)の脆弱性にパッチを当てました。
CVE-2026-20817として追跡されるこの欠陥はWerSvc.dllコンポーネントに影響し、Windows プロセス間通信メカニズムにおける継続的なリスクを浮き彫りにしています。
この脆弱性はローカル権限昇格(EoP)の問題に分類され、攻撃者はシステム上の低権限アカウントにすでにアクセスしている必要があることを意味します。
ただし、悪用されると影響を受けたマシンの完全な制御が可能になり、侵害後のシナリオで非常に危険となります。
GMOサイバーセキュリティのセキュリティ研究者Denis FaiustovとRuslan Sayfievは、Windowsエラー報告サービスの変更を分析する際にこの欠陥を発見しました。
彼らの研究により、マイクロソフトが基盤となるロジックを修正するのではなく、脆弱な機能を完全に削除する異例の緩和戦略を選択したことが明らかになりました。
パッチされたWerSvc.dllのバイナリ比較により、マイクロソフトが機能チェックを追加してSvcElevatedLaunch関数を変更したことが示されました。
パッチされたシステムでトリガーされた場合、関数は即座にエラーコード0x80004005(E_FAIL)を返し、脆弱なコードパスを効果的に無効化します。
このアプローチにより、悪用の試みが部分的に軽減されるのではなく完全にブロックされることが保証されます。
CVE-2026-20817の根本原因は、WERサービスが高度なローカルプロシージャコール(ALPC)メッセージを処理する方法にあります。
サービスが起動すると、\WindowsErrorReportingServicePortエンドポイントでリッスンするALPCサーバーを作成します。
攻撃者はこのエンドポイントに接続し、特別に細工されたメッセージを送信して欠陥をトリガーできます。
この問題を悪用するために、低権限ユーザーはMessageFlags値が0x50000000のALPCメッセージを送信します。
攻撃者は、制御された入力を渡すための共有メモリとして機能するFileマッピングオブジェクトも提供する必要があります。
WERサービスがこのメッセージを受け取ると、クライアントプロセスを開き、提供されたハンドルを複製し、共有メモリをマップします。
サービスはこのメモリ領域から攻撃者が制御するデータを読み取り、SYSTEMトークンの作成に進みます。
CreateProcessAsUserW APIを使用して、WerFault.exeを昇格された権限で起動します。
攻撃者は共有メモリバッファを通じてコマンドライン引数を制御するため、SYSTEMとして任意のコマンドを実行できます。
概念実証(PoC)エクスプロイトは、セキュリティ研究者itm4nによって公開され、脆弱性がどのように確実にトリガーできるかを示しています。
ただし、複数の偽りの、または武装化されたPoCリポジトリもオンラインで現れており、研究者と管理者に追加のリスクをもたらしています。
欠陥の深刻さにもかかわらず、Microsoft Defenderは保護層を提供します。
検出は異常なプロセス動作に基づいています。WERサービスはクライアントのプロセスIDを詐称し、新しく生成されたWerFault.exeプロセスの親として表示されます。
この異常なプロセス関係は疑わしいものとしてフラグが立てられ、悪用の試み中にアラートがトリガーされます。
組織は最新のWindowsセキュリティ更新を直ちに適用することを強く推奨します。脆弱性がSYSTEMへの完全なアクセスを可能にするため、ラテラルムーブメント、永続性、または完全なシステム乗っ取りのために他の攻撃技術と連鎖させることができます。
CVE-2026-20817は、Windowsエラー報告のような信頼されたシステムサービスでも、内部通信メカニズムが適切に保護されていない場合、攻撃ベクトルになることができることを思い出させます。
翻訳元: https://cyberpress.org/windows-error-reporting-flaw-lets-attackers-gain-system-privileges/