Исследователь под псевдонимом @oxfemale (@bytecodevm) опубликовал на GitHub доказательство концепции (PoC) для критической уязвимости локального повышения привилегий (CVE-2026-20817) в службе Windows Error Reporting (WER). Эта уязвимость связана с интерфейсом ALPC WER, который не проверяет права вызывающего.
Подробности уязвимости
Уязвимость обнаружена в методе SvcElevatedLaunch (метод 0x0D) порта WindowsErrorReportingService. Аутентифицированный пользователь с низкими привилегиями может заставить службу запускать WerFault.exe с аргументами командной строки, предоставленными атакующим, из общей памяти. Запущенный процесс получает токен SYSTEM, включая привилегии SeDebugPrivilege и SeImpersonatePrivilege, что позволяет получить полный доступ к системе.
Затронутые системы и меры безопасности
Уязвимость затрагивает Windows 10 и Windows 11 до января 2026 года, а также Windows Server 2019 и 2022. Microsoft устранила уязвимость в обновлении безопасности за январь 2026 года. Организациям рекомендуется немедленно установить обновления и следить за подозрительными процессами WerFault.exe и аномальным поведением токена SYSTEM, чтобы выявить возможную эксплуатацию.
Comments (0)