概要
Windows Error Reporting Service (WER) に新たな脆弱性 **CVE-2026-20817** が発見され、ローカル権限昇格の危険性があることが明らかになりました。この問題は、攻撃者が通常ユーザー権限からシステム権限を獲得することを可能にし、デバイスの完全な制御を許してしまう可能性があるため、緊急の対応が求められます。
脆弱性の詳細
Windows Error Reporting Service(WER)は、システム上で「NT AUTHORITY\SYSTEM」として実行されるため、その権限チェックに不備があると、直ちにデバイスの乗っ取りにつながる可能性があります。研究者によると、WERはALPCポートを介してクライアントからの要求をリッスンし、ヘルパープロセスを起動するコードパスを含んでいます。
脆弱なエントリーポイントは「CWerService::SvcElevatedLaunch」と記述されており、ここでは呼び出し元の認証を確認することなくプロセス作成要求を処理してしまいます。これは、CWE-280の「不十分な権限処理」パターンと一致します。
攻撃手法
実用的な観点から見ると、標準ユーザーは巧妙に細工されたリクエストをWERに送信することで、そのリクエストが信頼されたものであるかのように処理させることが可能です。
78ResearchLabの分析によると、WERはクライアントによって制御される共有メモリ領域からコマンドラインデータを取得し、それを昇格されたプロセス作成ルーチンに転送します。これにより、攻撃者は実行ファイルをWerFault.exeやWerMgr.exeのようなWindowsコンポーネントに固定しつつも、**最大520バイトのコマンドライン引数を完全に制御**できます。また、トークン作成パスは、SeTcbPrivilegeが削除されたSYSTEMベースのトークンを生成する可能性があり、これは一般的な悪用後の活動をサポートするのに十分強力です。
対応と推奨事項
Microsoftは、この脆弱性に対する緩和策として、機能フラグを使用して脆弱な起動機能を無効にする方法を説明しています。これは、関数内に権限チェックを追加するのではなく、機能を一時的に停止させるものです。
パッチとアップデート
- 2026年1月のセキュリティアップデートには、CVE-2026-20817が権限昇格の課題として含まれており、管理者には迅速な対応が推奨されます。
監視とテレメトリー
- WerFault.exeまたはWerMgr.exeが不審なコマンドライン引数や異常なトークン特性(例:SeTcbPrivilegeがない状態で昇格された権限)とともに現れる異常なプロセス作成を監視することが推奨されます。
パッチ未適用システムへの対策
- 直ちにパッチを適用できない組織は、WER関連のプロセスツリー周辺でのエンドポイント検出を優先し、WERに関連するSYSTEMコンテキストの子プロセスを引き起こす低権限ユーザーの活動を調査する必要があります。