Windows错误报告服务ALPC权限提升漏洞PoC已公开
随着概念验证(PoC)利用代码公开,微软 Windows 系统中一处关键本地权限提升(LPE)漏洞随之曝光。
该漏洞编号为 CVE-2026-20817,存在于 Windows 错误报告服务(WER) 内部。
此漏洞可让低权限已认证用户执行任意恶意代码,并获取完整 SYSTEM 系统权限。
安全研究员 @oxfemale(X/Twitter 账号 @bytecodevm)已在 GitHub 上发布了详细研究内容及配套 C++ PoC 利用代码。
此次公开暴露出 Windows 面向进程间通信的错误报告机制中存在重大安全隐患。
漏洞核心涉及高级本地过程调用(ALPC)协议。
WER 服务对外开放了一个名为 \WindowsErrorReportingService 的 ALPC 端口,用于与其他进程通信。
根据研究员分析,漏洞具体存在于 SvcElevatedLaunch 方法,对应方法号为 0x0D。
该服务未对调用用户的权限进行任何有效校验。
因此,攻击者可通过共享内存传入自定义命令行参数,强制服务启动
WerFault.exe。漏洞利用执行步骤
攻击者只需执行以下简单步骤即可成功触发漏洞:
| 操作 | 说明 |
|---|---|
| Create Shared Memory | 创建共享内存块,并在其中写入构造好的恶意命令行 |
| Connect to WER ALPC Port | 本地连接至 Windows 错误报告服务(WER)的 ALPC 端口 |
| Send ALPC Message (Method 0x0D) | 使用方法 0x0D发送 ALPC 消息,携带客户端进程 ID、共享内存句柄及命令行长度 |
| Trigger Command Execution | WER 服务复制句柄,并使用传入的命令行启动 WerFault.exe |
由于 WER 服务以高权限运行,新建进程会继承 SYSTEM 令牌。
该令牌包含多项高危权限,例如:
SeDebugPrivilege(可调试任意进程)和 SeImpersonatePrivilege(可模拟任意用户)。
尽管该令牌不包含操作系统核心级别的 SeTcbPrivilege,但获取到的权限已足以实现对系统的完全控制。
该漏洞影响范围极广,包括:
2026 年 1 月之前的所有 Windows 10、Windows 11 版本,
以及运行 Windows Server 2019、Windows Server 2022 的企业服务器环境。
微软已在2026 年 1 月安全更新中正式修复此漏洞。
鉴于 GitHub 已公开 PoC,强烈建议企业与系统管理员立即安装最新安全补丁,保障网络安全。
安全团队还应监控环境中是否出现异常的 WerFault.exe 子进程与不规范的 SYSTEM 令牌行为,以发现潜在的漏洞利用行为。