Windows Error Reporting の脆弱性 CVE-2026-20817:SvcElevatedLaunch の削除による対応

New Windows Error Reporting Vulnerability Lets Attackers Escalate to Gain SYSTEM Access

2026/03/27 CyberSecurityNews — Windows Error Reporting (WER) サービスにおいて、新たに発見されたローカル権限昇格の脆弱性を悪用する攻撃者は、SYSTEM 権限を容易に取得できる。この脆弱性 CVE-2026-20817 は、その構造的な危険性の高さを懸念する Microsoft により、従来のコード・パッチの適用ではなく、該当する機能自体を完全に削除するという対応が取られた。この脆弱性は、Windows Error Reporting サービスの主要ライブラリである “WerSvc.dll” ファイル内に存在する。

GMO Cybersecurity の研究者 Denis Faiustov/Ruslan Sayfiev によると、このサービスの脆弱性は、特定のクライアント・リクエストを処理する際の、不十分な権限処理に起因する。

このアーキテクチャ上の弱点により、低権限ローカル・ユーザーであっても、権限昇格されたコマンド実行を確実にトリガーできる。従来より Windows Error Reporting サービスは、プロセス間通信の複雑性から権限昇格攻撃の標的となってきた。

この脆弱性を悪用する攻撃者は、前提として NtAlpcConnectPort API を介して ALPC ポートへ接続し、その後に NtAlpcSendWaitReceivePort API を用いてペイロードを送信する必要がある。

それらペイロードにおける悪意のデータ構造は、正確な MessageFlags パラメータおよび構造パディングを含む必要があり、それにより脆弱なディスパッチャ・ロジックがトリガーされる。

悪用メカニズム

この脆弱性の中核は、”\WindowsErrorReportingServicePort” エンドポイントへ送信される、Advanced Local Procedure Call (ALPC) メッセージの操作にある。

File Mapping オブジェクトを取り込んだメッセージを生成する攻撃者は、内部関数 ElevatedProcessStart にハンドルの複製を行わせ、MapViewOfFile API を介して悪意のコマンドライン引数を読み込ませる。

Proof-of-Concept(source : itm4n.github)
Proof-of-Concept(source : itm4n.github)

最終的に CreateElevatedProcessAsUser 関数が呼び出され、正規アプリケーションである WerFault.exe が SYSTEM 権限で起動されるが、そのパラメータは攻撃者により制御されている。

Microsoft が異例の強硬な修正を行ったことは、WerSvc.dll のバージョン 10.0.26100.7309 と 10.0.26100.7623 のバイナリ差分の解析により確認されている。

Microsoft の開発者は、権限チェックや入力サニタイズを追加するのではなく、__private_IsEnabled() による厳格な機能判定を導入することで、SvcElevatedLaunch 機能を恒久的に無効化した。

修正後のコードでは、この関数により即座に 0x80004005 (E_FAIL) が返されているため、攻撃対象となる機能自体の完全な排除が明らかになった。

武器化と検知

この脆弱性を悪用する攻撃者は、SYSTEM 権限で “WerFault.exe” を実行できるが、任意のコード実行を達成するには、Windows 内部での高度なテクニックと特定のコマンドライン指定が必要となる。

Suspicious behavior detected(source : itm4n.github)
Suspicious behavior detected(source : itm4n.github)

この攻撃の手順において攻撃者は、WER サービスによる親プロセスの ID 偽装を介して、昇格したプロセスを低権限クライアントの子プロセスとして見せかける。

このプロセス偽装の手法は、現代的なマルウェアで頻繁に悪用されている。そのため、Microsoft Defender などのセキュリティ・ソリューションは、それを検知して即時にアラートを発する仕組みを持っている。

このローカル権限昇格の脆弱性の調査においては、特に注意が必要である。

GitHub などのプラットフォーム上には、脆弱性 CVE-2026-20817 の PoC を装う悪意のリポジトリが複数出現している。

これらのプロジェクトには、隠されたマルウェア・ペイロードが含まれる場合があるため、ダウンロードしたセキュリティ・ツールに対しては、実行前の隔離や静的解析を行う必要がある。

訳者後書:Windows Error Reporting (WER) サービスに発見された、深刻なローカル権限昇格の脆弱性 CVE-2026-20817 について解説する記事です。この問題の原因は、Windows のエラー報告を担う主要ライブラリ WerSvc.dll において、低権限のユーザーからのリクエストを処理する際の、権限チェックやデータの検証が不十分だったことにあります。

この脆弱性の構造的な危険性を重く見た Microsoft は、単なるパッチ適用に代えて、脆弱性の温床となっていた SvcElevatedLaunch 機能の完全な削除という異例の強硬手段を取りました。最新のバイナリでは、攻撃の対象となる関数が常にエラーを返すように書き換えられており、機能自体が恒久的に無効化されています。よろしければ、2026/03/02 の「Windows WER サービスの脆弱性 CVE-2026-20817:ALPC 権限昇格の PoC が公開」を、ご参照ください。