文章总结： 文档详细披露了Windows错误报告服务中严重的本地提权漏洞CVE-2026-20817。由于ALPC端口的SvcElevatedLaunch方法未正确校验权限，攻击者可借由PoC代码获取SYSTEM权限。该漏洞影响广泛，微软已修复，建议立即打补丁并监控WerFault.exe进程异常行为。 综合评分： 83 文章分类： 漏洞分析,漏洞POC,漏洞预警,渗透测试

Windows错误报告服务ALPC提权漏洞，PoC利用代码公开

FreeBuf

2026年3月3日 18:06 上海

#

随着概念验证（PoC）利用代码的公开，微软 Windows 操作系统中的一个严重本地提权（LPE）漏洞（CVE-2026-20817）浮出水面。该漏洞存在于 Windows 错误报告（WER）服务中，允许低权限认证用户执行任意恶意代码并获取 SYSTEM 级完全权限。

安全研究员 @oxfemale（X/Twitter 账号 @bytecodevm）在 GitHub 上发布了详细研究报告及配套的 C++ PoC 利用代码，揭示了 Windows 进程间通信错误报告机制中存在的重大安全缺陷。

#

Part01

漏洞技术原理

该漏洞核心涉及高级本地过程调用（ALPC）协议。WER 服务通过名为 \WindowsErrorReportingService 的特定 ALPC 端口与其他进程通信。研究发现，漏洞具体存在于 SvcElevatedLaunch 方法（方法编号 0x0D）中，WER 服务完全未能正确验证调用用户的权限。

攻击者可强制服务从共享内存块读取自定义命令行参数来启动 WerFault.exe。由于 WER 服务以高权限运行，新生成的进程将继承 SYSTEM 令牌，该令牌包含 SeDebugPrivilege（允许调试任何进程）和 SeImpersonatePrivilege（允许模拟任何用户）等危险权限。

Part02

漏洞利用步骤

成功触发漏洞需要执行以下操作序列：

Part03

影响范围与修复建议

该漏洞影响包括 2026 年 1 月之前的所有 Windows 10/11 版本，以及运行 Windows Server 2019/2022 的企业服务器环境。微软已在 2026 年 1 月安全更新中修复该漏洞。

安全建议：

• 立即应用最新安全补丁
• 监控环境中异常的 WerFault.exe 子进程
• 检测异常的 SYSTEM 令牌行为以识别潜在攻击尝试

参考来源：

PoC Exploit Released for Windows Error Reporting ALPC Privilege Escalation

PoC Exploit Released for Windows Error Reporting ALPC Privilege Escalation

#

#

#

推荐阅读

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《Windows错误报告服务ALPC提权漏洞，PoC利用代码公开》