文章总结： 文档披露Windows错误报告服务存在本地权限提升漏洞CVE-2026-20817，源于ALPC端口方法0x0D权限校验缺失。攻击者可利用共享内存注入命令，诱使服务以SYSTEM权限执行代码。研究员已公开PoC，影响Windows10/11及Server系列，微软已在1月补丁中修复，建议管理员立即更新。 综合评分： 84 文章分类： 漏洞预警,漏洞POC,漏洞分析,终端安全

针对 Windows 错误报告的 ALPC 权限提升漏洞利用程序已发布

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月3日 12:17 北京

最近，随着概念验证 (PoC) 漏洞利用程序的公开发布，一个影响 Microsoft Windows 的严重本地权限提升 (LPE) 漏洞被曝光。

该安全漏洞编号为 CVE-2026-20817，存在于 Windows 错误报告 (WER) 服务中。

该漏洞允许具有低权限的已认证用户以完整的 SYSTEM 权限执行任意恶意代码。

详细的研究和相应的 C++ PoC 漏洞利用程序由安全研究员 @oxfemale（在 X/Twitter 上也称为 @bytecodevm）发布在 GitHub 上。

此次发布凸显了Windows进程间通信错误报告机制中存在的重大安全漏洞。

该漏洞的核心在于高级本地过程调用（ALPC）协议。

WER 服务公开了一个名为 \WindowsErrorReportingService 的特定 ALPC 端口，以便与其他进程进行通信。

根据研究人员的发现，该缺陷具体存在于 SvcElevatedLaunch 方法中，具体方法编号为 0x0D。WER 服务完全无法正确验证调用用户的权限。

因此，攻击者可以 使用从共享内存块提供的自定义命令行参数强制服务启动 WerFault.exe 。

漏洞利用执行步骤

要成功触发漏洞，攻击者只需遵循以下一系列简单的操作：

| 动作 | 描述 | | — | — | | 创建共享内存 | 创建一个包含任意恶意命令行信息的共享内存块。 | | 连接至 WR ALPC 端口 | 建立与 Windows 错误报告 (WER) ALPC 端口的本地连接。 | | 发送 ALPC 消息（方法 0x0D） | 使用方法 0x0D 发送 ALPC 消息，包括客户端进程 ID、共享内存句柄和确切的命令行长度。 | | 触发命令执行 | WER 服务复制句柄并使用提供的命令行启动 WerFault.exe。 |

由于 WER 服务以高权限级别运行，因此新生成的进程继承了 SYSTEM 令牌。

此令牌包含危险权限，例如 SeDebugPrivilege（允许调试任何进程）和 SeImpersonatePrivilege（允许模拟任何用户）。

虽然SeTcbPrivilege并未被授予作为操作系统一部分的权限，但所获得的权限仍然提供了完整的系统访问权限。

该漏洞影响范围广泛，包括2026年1月之前的所有Windows 10和Windows 11版本，以及运行Windows Server 2019和Windows Server 2022的企业服务器环境。

微软在2026 年 1 月的安全更新中正式解决了这个漏洞。

根据 GitHub 上发布的 PoC，强烈建议组织和系统管理员立即应用最新的安全补丁来保护其网络安全。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《针对 Windows 错误报告的 ALPC 权限提升漏洞利用程序已发布》