Windows WER サービスの脆弱性 CVE-2026-20817:ALPC 権限昇格の PoC が公開

PoC Exploit Released for Windows Error Reporting ALPC Privilege Escalation

2026/03/02 CyberSecurityNews — Microsoft の Windows に影響を及ぼす、深刻なローカル権限昇格 (LPE) の脆弱性 CVE-2026-20817 に対して、概念実証 (PoC) エクスプロイトが公開された。この脆弱性は、Windows Error Reporting (WER) サービス内に存在する欠陥に起因する。この脆弱性を悪用する低権限の認証済みユーザーは、SYSTEM 権限で任意の悪意のコードを実行できる。詳細な調査結果と、C++ による PoC エクスプロイトが、セキュリティ研究者 @oxfemale (X/Twitter 上では @bytecodevm としても知られる) により GitHub 上で公開された。この公開が浮き彫りにするのは、Windows エラー報告メカニズムのプロセス間通信に存在する、深刻なセキュリティ欠陥の危険性である。

この脆弱性の核心は、Advanced Local Procedure Call (ALPC) プロトコルにある。Windows Error Reporting (WER) サービスは、他プロセスとの通信を可能にするために、”\RPC Control\WindowsErrorReportingService” という名称の ALPC ポートを公開している。研究者によると、この欠陥はメソッド ID 0x0D として識別される SvcElevatedLaunch メソッドに存在する。WER サービスが、呼び出し元ユーザーの権限を適切に検証していないという問題がある。

PoC exploit(source : GitHub)
PoC exploit(source : GitHub)

その結果、この欠陥を突く攻撃者は、共有メモリブロックから参照されるカスタム・コマンドライン引数を悪用し、サービスに “WerFault.exe” を起動させることが可能となる。

エクスプロイトの実行手順

攻撃者は以下の手順を実行し、このエクスプロイトを成功させる。

アクション/説明内容
Create Shared Memory任意の悪意あるコマンドラインを含む共有メモリブロックを作成する。
Connect to WER ALPC PortWindows Error Reporting (WER) ALPC ポートへのローカル接続を確立する。
Send ALPC Message (Method 0x0D)クライアント・プロセス ID/共有メモリ・ハンドル/コマンドライン長を含むメッセージを送信する。
Trigger Command ExecutionWER サービスがハンドルを複製し、指定されたコマンドラインで “WerFault.exe” を起動する。

WER サービスは高特権レベルで実行されているため、新たに生成されたプロセスは SYSTEM トークンを継承する。このトークンには、任意プロセス・デバッグが可能な SeDebugPrivilege や、任意のユーザーへのなりすましが可能な SeImpersonatePrivilege といった、危険な権限が含まれている。オペレーティング・システムの一部として動作する権限 SeTcbPrivilege は付与されないが、取得される権限により実質的にシステム全体への完全なアクセスが可能になる。

この脆弱性は、広範なオペレーティング・システムに影響を及ぼす。2026年1月以前のWindows 10/Windows 11 の全バージョンや、Windows Server 2019/Windows Server 2022 を実行するエンタープライズ・サーバ環境が対象となる。

すでに Microsoft は、2026年1月の Patch Tuesday で、この脆弱性に対処している。GitHub 上に公開された PoC によると、組織およびシステム管理者に対して強く推奨されるのは、最新のセキュリティ・パッチを直ちに適用し、ネットワークを保護することである。

さらにセキュリティ・チームは、環境内における異常な “WerFault.exe” 子プロセスの生成や、SYSTEM トークンに関連する不審な挙動を監視し、悪用試行の兆候を検知する必要がある。

今回の脆弱性 CVE-2026-20817 は、Windows のエラー報告機能である WER サービスの仕組みが抱える問題です。具体的に言うと、ALPC (Advanced Local Procedure Call) プロトコル内の SvcElevatedLaunch というメソッドで、呼び出し元の権限確認が不十分であることに原因があります。このため、権限のないユーザーであっても、悪意のコマンドライン引数を送り込み、SYSTEM 権限で “WerFault.exe” を起動できてしまいます。高い権限を要求するサービスが、外部からの入力を安易に信用して処理を実行してしまうという、システム間の連携における境界線の管理の難しさを示しています。修正には、セキュリティ更新プログラムの適用が不可欠です。よろしければ、2026/02/10 の「Windows Error Reporting Service の脆弱性 CVE-2026-20817:SYSTEM レベル権限昇格の恐れ」も、ご参照ください。