Windows错误报告服务特权提升CVE-2026-20817

Windows 错误报告服务（Windows Error Reporting Service）是 Windows 内置系统级诊断与反馈服务，自动启动并收集错误报告数据。

一、基本情况

WerSvc 负责捕获程序崩溃、系统蓝屏、应用无响应等故障，收集诊断数据并上报微软，以获取解决方案、推送修复并提升系统稳定性。

栋科技漏洞库关注到一个Windows错误报告服务特权提升漏洞，该漏洞现在已经被追踪为CVE-2026-20817，漏洞的CVSS 3.X评分7.8。

二、漏洞分析

CVE-2026-20817 漏洞是位于 Windows 错误报告中对权限或特权的处理不当导致的安全漏洞，允许拥有授权的攻击者在本地提升权限。

该漏洞存在于 Windows 错误报告服务（WER） 内部，允许低权限已认证用户执行任意恶意代码，从而获取完整 SYSTEM 系统权限。

该漏洞是Windows 系统一处关键本地权限提升（LPE）漏洞，暴露出 Windows 面向进程间通信的错误报告机制中存在重大安全隐患。

该漏洞核心涉及高级本地过程调用（ALPC）协议，漏洞具体存在于 SvcElevatedLaunch 方法，对应方法号为 0x0D。

WER 服务对外开放 \WindowsErrorReportingService  ALPC 端口，用于与其他进程通信，但服务未对调用用户权限进行任何有效校验。

这就意味着攻击者能够通过共享内存传入自定义命令行参数，强制服务启动 WerFault.exe。

三、POC概念验证

1、Create Shared Memory    创建共享内存块，并在其中写入构造好的恶意命令行

2、Connect to WER ALPC Port    本地连接至 Windows 错误报告服务（WER）的 ALPC 端口

3、Send ALPC Message (Method 0x0D)    使用方法 0x0D发送 ALPC 消息，携带客户端进程 ID、共享内存句柄及命令行长度

4、Trigger Command Execution    WER 服务复制句柄，并使用传入的命令行启动 WerFault.exe

由于 WER 服务以高权限运行，新建进程会继承 SYSTEM 令牌。

该令牌包含多项高危权限，例如：

SeDebugPrivilege（可调试任意进程）和 SeImpersonatePrivilege（可模拟任意用户）。

尽管该令牌不包含操作系统核心级别的 SeTcbPrivilege，但获取到的权限已足以实现对系统的完全控制。

四、影响范围

2026 年 1 月之前的所有 Windows 10、Windows 11 版本， 运行 Windows Server 2019、Windows Server 2022 的企业服务器环境。

五、修复建议

Windows_11_24H2 >= 10.0.26100.7623

Windows_11_25H2 >= 10.0.26200.7623

Windows_10_22H2 >= 10.0.19045.6809

Windows_10_21H2 >= 10.0.19044.6809

Windows_server_2025 >= 10.0.26100.32230

Windows_server_2022 >= 10.0.20348.4648

Windows_11_23H2 >= 10.0.22631.6491

Windows_server_23h2 >= 10.0.25398.2092

六、参考链接

管理员已设置登录后刷新可查看