CVE-2026-20817: Повышение привилегий в Windows Error Reporting — от локального пользователя до SYSTEM

CVE-2026-20817 — это уязвимость повышения привилегий, затрагивающая службу Windows Error Reporting (WER). Проблема вызвана некорректной проверкой прав доступа в интерфейсе Advanced Local Procedure Call (ALPC), используемом службой. Данная брешь позволяет злоумышленнику, уже имеющему ограниченный доступ к системе (например, от имени обычного пользователя), выполнить произвольный код с правами NT AUTHORITY\SYSTEM. Это дает полный контроль над операционной системой.

Уязвимость находится в библиотеке wersvc.dll, в механизме обработки межпроцессного взаимодействия через ALPC. Служба предоставляет метод (SvcElevatedLaunch), предназначенный для обработки отчетов о сбоях. Атакующие могут вызвать этот метод, отправив специально сформированное сообщение, указывающее на контролируемый ими блок памяти. Из-за недостаточной валидации привилегий, служба WER (работающая как SYSTEM) считывает данные атакующего и использует их для запуска WerFault.exe с повышенными правами. Это позволяет обойти границы безопасности и выполнить команды от имени самого привилегированного пользователя в системе.

Оценка CVSS: 7.8 (Высокая) Хотя для эксплуатации требуется локальный доступ (атаку нельзя провести удаленно без предварительного проникновения), это критический инструмент пост-эксплуатации: • Полный захват системы: Права SYSTEM позволяют отключить антивирусы, сдампить пароли и получить доступ к любым файлам. • Закрепление (Persistence): Возможность установки руткитов и бэкдоров, выживающих после перезагрузки. • Горизонтальное перемещение: Высокие права упрощают атаку на другие машины в сети.

Уязвимость затрагивает все поддерживаемые версии Windows без обновлений за январь 2026, включая: • Windows 10 (версии 21H2, 22H2 и новее) • Windows 11 (все версии) • Windows Server 2019, 2022 и 2025

Microsoft выпустила исправление в рамках «Вторника обновлений» (Patch Tuesday) в январе 2026 года. Вариант 1: Windows Update (Обязательно) Убедитесь, что на системах установлено «Накопительное обновление 2026-01». • Перейдите в Параметры > Обновление и безопасность > Центр обновления Windows. • Нажмите «Проверить наличие обновлений» и установите патчи. Вариант 2: Отключение службы (Временно) Если установка патча невозможна, администраторы могут отключить службу WER через групповые политики или установив значение Start на 4 (Disabled) в ветке реестра HKLM\SYSTEM\CurrentControlSet\Services\WerSvc. Примечание: Это отключит функционал отчетов об ошибках.

Если ваши рабочие станции пропустили январские обновления безопасности, они уязвимы для атак с повышением привилегий. Платформа TEPTEZ способна автоматически сканировать инфраструктуру для выявления отсутствующих патчей ОС и уязвимых конфигураций. Мы предоставляем полную видимость соответствия требованиям и инструкции по устранению рисков.