Исследователи кибербезопасности обнаружили новую уязвимость в операционной системе Windows, которая позволяет злоумышленнику с обычными правами пользователя получить полный контроль над системой. Уязвимости присвоен идентификатор CVE-2026-20817, и она затрагивает службу отчетов об ошибках Windows (Windows Error Reporting Service, WER). Эта служба работает с максимальными правами от имени учетной записи NT AUTHORITY\SYSTEM. Следовательно, любая ошибка в проверке разрешений внутри нее создает прямой путь к полному захвату устройства.
Детали уязвимости
Технический анализ показывает, что WER ожидает запросы от клиентов через порт ALPC. Внутри службы существует определенный путь выполнения кода, который может запускать вспомогательный процесс. Конкретно уязвимая точка входа, обозначенная как "CWerService::SvcElevatedLaunch", обрабатывает запрос на создание процесса. При этом она не проверяет авторизацию вызывающей стороны. Данный сценарий соответствует шаблону CWE-280, описывающему некорректную обработку недостаточных прав или привилегий.
На практике пользователь с минимальными правами может отправить специально созданный запрос. В результате WER обработает его как доверенный. Исследователи из 78ResearchLab в своем блоге уточняют, что служба извлекает данные командной строки из области общей памяти, контролируемой клиентом. Затем эти данные передаются в процедуру создания процесса с повышенными привилегиями. Таким образом, злоумышленник может оставить исполняемый файл неизменным, используя стандартные компоненты Windows, такие как WerFault.exe или WerMgr.exe. Одновременно он получает полный контроль над аргументами командной строки длиной до 520 байт.
Кроме того, путь создания токена безопасности может привести к формированию токена от имени SYSTEM, но с удаленной привилегией SeTcbPrivilege. Однако даже такой токен сохраняет достаточно высокий уровень полномочий для поддержки типичных действий после эксплуатации уязвимости (post-exploitation). CVSS v3.1 оценивает серьезность этой уязвимости в 7.8 балла, что соответствует высокому уровню опасности.
Со стороны исправления, Microsoft предложила способ смягчения последствий, описанный в исследовании. Вместо добавления проверки разрешений внутри уязвимой функции, компания отключает проблемную функцию запуска с помощью специального флага. Руководство по установке обновлений безопасности за январь 2026 года включает CVE-2026-20817 в список проблем повышения привилегий. Администраторам рекомендуется устранить ее как можно быстрее.
Для организаций, которые не могут немедленно установить патч, критически важным становится мониторинг и обнаружение угроз на конечных точках. Рекомендуемая телеметрия включает наблюдение за необычным созданием процессов, где фигурируют WerFault.exe или WerMgr.exe с подозрительными командными строками. Также следует обращать внимание на аномальные характеристики токенов. Например, наличие повышенных привилегий при отсутствии SeTcbPrivilege. Специалистам по безопасности следует расставить приоритеты в обнаружении атак, связанных с деревьями процессов WER. Необходимо расследовать любую активность пользователя с низкими привилегиями, которая приводит к созданию дочерних процессов от имени SYSTEM, связанных со службой отчетов об ошибках. Своевременное выявление таких аномалий может предотвратить эскалацию привилегий в корпоративной сети.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20817
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20817
- https://blog.78researchlab.com/2ffdb461-3e5b-80ae-a5e0-e1e24626fe02
