概要

セキュリティ研究者 @bytecodevm (GitHub: @oxfemale) によって作成された証明概念（PoC）が公開され、Windows ALPC プライバシー昇格の脆弱性が明らかになりました。この脆弱性は CVE-2026-20817 として識別され、認証済みの低権限ユーザーが SYSTEM レベルのアクセスで任意のコードを実行できる可能性があります。

脆弱性概要

CVE ID: CVE-2026-20817
深刻度スコア: CVSS 7.8 (高)
対象コンポーネント: Windows エラー報告サービス（WER）
攻撃ベクトル: ローカルプライバシー昇格（ALPC）
権限影響: 低権限ユーザーから SYSTEM アクセスへ
パッチ状況: 2026年1月のセキュリティ更新プログラムで修正済み

脆弱性詳細

この脆弱性は、Windows エラー報告サービスが高度なローカルプロシージャコール（ALPC）を介したプロセス間通信を管理する方法に起因しています。特に SvcElevatedLaunch メソッド (0x0D) は、呼び出しアプリケーションの権限を適切に検証せずにコマンドを実行します。

攻撃者は共有メモリセグメントを作成し、悪意のあるコマンドラインペイロードを含めます。その後、\WindowsErrorReportingService ALPC ポートに接続して、特別なメッセージを送信します。このメッセージにはクライアントプロセス ID、共有メモリハンドル、およびペイロードの長さが含まれています。

WER サービスは提供されたハンドルを複製し、WerFault.exe を起動します。攻撃者が供給したコマンドラインパラメータは直接共有メモリブロックから注入されます。

影響範囲と対策

この脆弱性は Windows 10、Windows 11、Windows Server 2019、および Windows Server 2022 の未修正バージョンに影響を及ぼします。現在のところ実世界での悪用は確認されていませんが、PoC の公開により、ランサムウェアオペレーターにとって後方攻撃ツールとして非常に魅力的なものとなっています。

Microsoft は CVE-2026-20817 を修正するために、SvcElevatedLaunch 内で強化された検証チェックを実装し、悪意のあるプロセスリクエストを拒否する更新プログラムを公開しました。組織は速やかにこれらの更新プログラムを全 Windows 環境に展開することが重要です。

直ちにパッチを適用できない場合、管理者は一時的にサービスを無効にすることができます:

• sc config WerSvc start=disabled
• sc stop WerSvc

セキュリティオペレーションセンターでは、セキュリティイベント ID 4688 を使用して WerFault.exe の異常なコマンドラインの実行を検出するよう注意を払うべきです。また、Sysmon イベント ID 10 を使用して不規則な SYSTEM テークンの振る舞いを特定することも重要です。

結論

これらの防御戦略を適用することで、権限昇格の試みに対する重大な障壁を作ることができます。組織は速やかにパッチを適用し、必要に応じて上記の対策を講じることで、この脆弱性から自社のインフラストラクチャを保護することが可能です。

---

元記事: https://gbhackers.com/proof-of-concept-released-for-windows-alpc-privilege-escalation/