概要
Microsoftは、Windowsエラーレポート(WER)サービスにおける深刻な権限昇格(Elevation of Privilege: EoP)脆弱性(CVE-2026-20817)を修正しました。この脆弱性により、ローカルユーザーが標準的なユーザーリングスでシステムレベルのアクセスを得ることが可能となります。
脆弱性の詳細
CVE識別子: CVE-2026-20817
Affected Component: Windows Error Reporting サービス、特にWerSvc.dllライブラリ。
影響と脅威の種類: ローカル権限昇格による完全なシステムアクセス。
発見
この脆弱性はGMOサイバーセキュリティのDenis Faiustov氏とRuslan Sayfiev氏によって発見されました。セキュリティ研究者は、WerSvc.dllに対するバイナリーディフティングを通じて脆弱性を特定しました。
修正内容
Microsoftの更新は、脆弱な機能自体を無効化するものでした。パッチが適用されたバージョンと未適用のバージョンを比較すると、SvcElevatedLaunch関数に直接パッチが追加されていることがわかります。
脆弱性の原因
この脆弱性は、WERサービスがAdvanced Local Procedure Call (ALPC) メッセージをどのように処理するかに関連しています。サービスが開始すると、\WindowsErrorReportingServicePortエンドポイントでALPCサーバーを作成します。
攻撃手順
- 低権限ユーザーはこのポートに接続し、特別なペイロードを送信することで脆弱性を利用することができます。このペイロードにはMessageFlags値が
0x50000000である必要があります。 - 攻撃者はファイルマッピングオブジェクトハンドルを共有メモリとして使用し、悪意のある引数を配信します。
- この特別なALPCメッセージが受信されると、WERサービスはクライアントのプロセスを開き、ファイルマッピングハンドルを複製します。その後、ユーザー制御の入力文字列を読み込むためのビューをマップします。
- 次に、サービスはSYSTEMトークンを作成し、CreateProcessAsUserWAPIを使用してWerFault.exeを起動します。このとき、ALPCクライアントがファイルマッピングバッファを通じて渡されるコマンドラインオプションを制御しているため、攻撃者は任意のパラメータでWerFault.exeをSYSTEMとして実行することができます。
証明概念
セキュリティ研究者のitm4n氏は、この脆弱性(CVE-2026-20817)の機能的な証明概念をGitHubで公開しました。これは、昇格したコマンドライン実行をトリガーする方法を示しています。
対策
管理者は注意が必要です。GitHubには偽りや潜在的に悪意のあるPoCリポジトリも存在しますが、Windows Defenderはこれらの実際の攻撃を検出します。
元記事: https://gbhackers.com/windows-error-reporting-vulnerability/