Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

CVE-2026-20817 - Windows Error Reporting Service EoP

1 minute de lecture

Mis à jour :

Analyse de la vulnérabilité CVE-2026-20817 dans le service Windows Error Reporting

Cette vulnérabilité d’élévation de privilèges locaux (EoP) au sein du service Windows Error Reporting (WER) permettait à un utilisateur faiblement privilégié d’exécuter des processus avec les privilèges SYSTEM. La faille a été jugée suffisamment critique par Microsoft pour que la fonctionnalité défaillante soit purement et simplement supprimée via une mise à jour.

Points clés

  • Mécanisme d’exploitation : L’attaque repose sur l’envoi d’un message ALPC (Advanced Local Procedure Call) spécialement conçu au service WER. Ce message interagit avec la fonction SvcElevatedLaunch, permettant de forcer le lancement de WerFault.exe avec des options de ligne de commande contrôlées par l’attaquant.
  • Vecteur d’attaque : Le service expose un port ALPC (\WindowsErrorReportingServicePort) accessible aux utilisateurs locaux. En manipulant la structure _WERSVC_MSG, un attaquant peut transmettre un objet de mappage de fichier (File Mapping) contenant des arguments arbitraires.
  • Conséquence : Bien que l’attaquant ne puisse pas choisir directement le binaire exécuté (toujours WerFault.exe), le contrôle des arguments de ligne de commande et la capacité de dupliquer des handles vers le nouveau processus offrent un point d’entrée pour une élévation de privilèges complète.
  • Détection : Le comportement d’exploitation (usurpation de PID pour définir la relation parent/enfant du processus) est activement surveillé et détecté par Microsoft Defender.

Vulnérabilité

  • CVE-2026-20817 : Classification CWE “Improper Handling of Insufficient Permissions or Privileges”. Elle permet à un utilisateur standard de manipuler l’exécution du service WER pour obtenir des privilèges SYSTEM.

Recommandations

  • Mise à jour système : Appliquer les correctifs de sécurité fournis par Microsoft (la correction supprime la fonctionnalité vulnérable dans WerSvc.dll, version 10.0.26100.7623 et ultérieures).
  • Surveillance : Surveiller les alertes de sécurité liées à des comportements suspects de WerFault.exe ou à des tentatives d’interaction avec le port ALPC \WindowsErrorReportingServicePort.
  • Prudence : Se méfier des preuves de concept (PoC) disponibles publiquement sur les plateformes de partage de code, car certaines peuvent être malveillantes.

Source

Vous pourriez aimer