Windows Error Reporting Service の脆弱性 CVE-2026-20817：SYSTEM レベル権限昇格の恐れ

Windows Error Reporting Service Vulnerability Let Attackers Elevate Privileges – PoC Released

2026/02/10 CyberSecurityNews — Windows Error Reporting Service に深刻なセキュリティ欠陥が発見され、標準ユーザー権限を持つ攻撃者が SYSTEM レベルの権限に昇格できることが判明した。この脆弱性 CVE-2026-20817 は、2026年1月に Microsoft により修正されたものであり、攻撃の複雑性が低くシステム全体の侵害につながる可能性があることから、Windows 環境にとって重大な脅威となる。Microsoft は 30 日以内に悪用される可能性が高い “Exploitation More Likely (悪用の可能性が高い)” と評価し、パッチ適用の緊急性を強調している。

脆弱性 CVE-2026-20817 は、CWE-280 (不適切なパーミッションと権限の操作) に分類されるローカル権限昇格の欠陥であり、CVSS スコアは 7.8( High) と評価されている。NT AUTHORITY\SYSTEM 権限で実行され、ALPC (Advanced Local Procedure Call) ポート経由でクライアント・リクエストを待ち受ける Windows Error Reporting Service (wersvc.dll) に、この脆弱性は存在する。

プロセス生成リクエストを処理する際に、サービスが要求元の権限を検証しないことで、この脆弱性が発動する可能性が生じる。つまり、通常のユーザー権限を持つ攻撃者であれば、細工されたメッセージを送信することで、SeTcbPrivilege のみを除外した SYSTEM レベルのトークンを用いたプロセスを生成できる。それにより、対象となるプロセスのコマンドライン引数の完全な制御が可能となる。

Windows Error Reporting Service の脆弱性

悪用チェーンは、複数の重要なステップで構成される。まず、CWerService::SvcElevatedLaunch 関数が認可検証を行わずに要求を処理するため、一般ユーザーのリクエストが無制限に通過する。続いて、対象となるサービスが、共有メモリから攻撃者が制御するコマンドラインを抽出し、それをプロセス生成関数へ渡す。

中核となる欠陥は、UserTokenUtility::GetProcessToken 関数に存在する。この関数は WER サービスの SYSTEM トークンを基に新しいトークンを生成するが、除去されるのは SeTcbPrivilege のみである。その結果として、SeDebugPrivilege／SeImpersonatePrivilege／SeBackupPrivilege を含む昇格特権が保持され、資格情報の窃取やシステムの完全掌握が可能となる。

脆弱性 CVE-2026-20817 への対応として Microsoft が実装したのは、権限検証ロジックの追加ではなく、脆弱な機能自体を完全に無効化するフィーチャー・フラグの追加である。それが示唆するのは、対象となる機能が内部で用いられるものであり、外部からのアクセスが可能であるべきではなかったことだ。

78researchlab がユーザー組織に対して勧告するのは、2026年1月の Microsoft セキュリティ更新の速やかな適用である。パッチの適用が困難な場合には、SeTcbPrivilege を欠いた SYSTEM トークンを伴う、WerFault.exe／WerMgr.exe の異常なプロセス生成イベントに対するエンドポイント監視を強化すべきである。

脆弱性 CVE-2026-20817 が浮き彫りにするのは、特権サービスにおける適切な認可／認証チェックの重要性である。些細に見える見落としであっても、システム全体の完全な侵害につながり得ることが明らかにされた。

Windows の標準機能である Windows Error Reporting Service の脆弱性 CVE-2026-20817 について、その影響を明らかにする記事です。この問題の原因は、エラー報告を行うサービス (wersvc.dll) が、外部からのリクエストに対して権限の検証を適切に行っていなかったことにあります。本来であれば、SYSTEM 権限でのプロセス実行は厳格に制限されるべきですが、このサービスは一般ユーザーから受け入れたリクエストを、サニタイズせずに実行してしまいました。

脆弱性の観点では、CVE-2026-20817として特定されており、Windows OSの根幹に関わる特権トークンの扱い (CWE-280) に不備と判定されています。この隙を突く攻撃者は、デバッグ権限 (SeDebugPrivilege) などの権限を持ったプログラムを起動できるため、最終的にはシステム全体の完全な乗っ取りが可能になります。ご利用のチームは、ご注意ください。よろしければ、Windows Error Reporting Service での検索結果も、ご参照ください。