CVE-2026-20817 - Windows Error Reporting (WER) ALPC Privilege Escalation

Критическая уязвимость локального повышения привилегий (LPE) в системной службе Windows Error Reporting (WER). Уязвимость позволяет локальному пользователю с низким уровнем прав выполнить произвольный код с максимальными системными привилегиями.

Технический анализ

• Поражённые версии: Windows 10, Windows 11, Windows Server 2019/2022 (версии до обновлений безопасности февраля 2026 г.)
• Исправленная версия: Обновления безопасности Windows (KB) от февраля 2026 г.
• Платформы: Microsoft Windows (x64, ARM64)
• Тип уязвимости: CWE-269: Improper Privilege Management (Ненадлежащее управление привилегиями / LPE)
• Точка входа: Механизм межпроцессного взаимодействия ALPC службы WerSvc.
• Метод эксплуатации:
• Установление связи: Атакующий запускает вредоносный процесс с низкими правами и инициирует соединение с портом ALPC, который слушает служба Windows Error Reporting (WerSvc).
• Отправка запроса: Отправляется специально сформированное (malformed) сообщение ALPC, имитирующее отчет об ошибке или запрос на диагностику.
• Манипуляция ресурсами: Из-за отсутствия должной проверки прав доступа отправителя в коде обработки сообщений, служба WER начинает работу с файлами или ключами реестра, указанными в сообщении, используя свои системные привилегии.
• Захват потока выполнения: Атакующий использует состояние гонки (race condition) или подмену символических ссылок (symlink attack), чтобы заставить службу загрузить вредоносную DLL или выполнить запись в защищенную системную директорию.
• Выполнение кода: В результате служба запускает полезную нагрузку атакующего с правами NT AUTHORITY\SYSTEM.
• CVSS v3.1: 7.8 HIGH (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H)
• Ограничения эксплуатации:
• Требуется наличие локального доступа к системе (возможность запускать код в сессии пользователя).
• Необходим доступ к системным вызовам для работы с портами ALPC.

Влияние

Полный захват системы: Злоумышленник, имеющий ограниченный доступ (например, через веб-шелл или обычную учетную запись), мгновенно становится "суперпользователем" Windows.

Обход средств защиты: Привилегии уровня SYSTEM позволяют отключать антивирусы (EDR/AV), удалять журналы событий и устанавливать скрытые бэкдоры (руткиты).

Кража учетных данных: Получив права системы, атакующий может извлечь хэши паролей и токены из памяти процесса LSASS для дальнейших атак на домен (Lateral Movement).

Использование в цепочках атак: Часто используется как второй этап после эксплуатации удаленной уязвимости (например, в браузере или офисном ПО) для выхода из "песочницы" приложения.

Скачать