文章总结： Windows错误报告服务发现本地权限提升漏洞CVE-2026-20817，攻击者利用WerSvc.dll权限处理缺陷可获取SYSTEM权限。微软未修补代码而是直接禁用SvcElevatedLaunch功能以消除攻击面。漏洞利用涉及进程欺骗技术，虽可被防御软件检测，但研究人员警示GitHub上存在含恶意代码的虚假漏洞演示项目，需在隔离环境分析。 综合评分： 88 文章分类： 漏洞分析,漏洞预警,终端安全,逆向分析,渗透测试

新的 Windows 错误报告漏洞允许攻击者升级以获得系统访问权限

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年3月27日 18:40 北京

Windows 错误报告（WER）服务中一个新发现的本地权限提升漏洞，使攻击者能够轻易获得完整的系统访问权限。

该漏洞被追踪为 CVE-2026-20817，其结构危险性极大，以至于微软彻底移除了这一存在漏洞的功能，而非尝试传统的代码修补。

该安全漏洞存在于 Windows 错误报告服务的主要可执行库中，具体来说是 WerSvc.dll 文件。

据 GMO Cybersecurity 的漏洞研究人员丹尼斯·费乌斯托夫（Denis Faiustov）和鲁斯兰·赛菲耶夫（Ruslan Sayfiev）称，该服务在处理特定客户端请求时，对权限不足的情况处理不当。

这种架构缺陷为权限较低的本地用户提供了可靠途径，使其能够触发高级别的命令执行漏洞。

从历史上看，由于 Windows 错误报告服务复杂的进程间通信需求，它一直是特权提升攻击的常见目标。

攻击者精心构造一条包含文件映射对象的消息，诱使内部的 ElevatedProcessStart 函数复制句柄，并使用 MapViewOfFile API 读取恶意的命令行参数。

最终，会调用 CreateElevatedProcessAsUser 函数，这无意中以具有高度特权的 SYSTEM 权限以及攻击者高度控制的参数启动了合法的 WerFault.exe 应用程序。

安全分析师在对 WerSvc.dll 文件的 10.0.26100.7309 版本和 10.0.26100.7623 版本进行二进制差异分析时发现，微软采取了不同寻常的激进措施来进行修复。

开发人员没有添加权限检查或输入清理例程，而是引入了一个严格的 __private_IsEnabled() 功能测试，永久禁用了 SvcElevatedLaunch 功能。

如果执行了修补后的代码，该函数会立即返回 0x80004005（E_FAIL）错误代码，通过完全移除该功能从而有效地消除了整个攻击面。

虽然该漏洞确实能成功以 SYSTEM 身份强制执行 WerFault.exe，但攻击者必须结合特定的命令行选项以及高级的 Windows 内部技巧才能实现任意代码执行。

在漏洞利用过程中，WER 服务通过使用父进程 ID 伪造技术，使新生成的具有提升权限的进程看起来就像是攻击者低权限客户端的直接子进程。

由于这种特定的进程欺骗技术被现代恶意软件大量滥用，像微软防御者这样的安全解决方案能够主动检测此类行为，并立即发出警报。

网络安全专家在研究这一特定的本地权限提升威胁时必须保持高度警惕。

在诸如 GitHub 等平台上，出现了多个关于 CVE-2026-20817 漏洞的虚假且可能具有恶意性质的演示代码库。

这些具有欺骗性的项目文件通常会包含隐藏的恶意软件代码，这强烈提醒我们，在执行任何下载的安全工具之前，必须对其进行严格的隔离和静态分析。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《新的 Windows 错误报告漏洞允许攻击者升级以获得系统访问权限》