Windows 错误报告服务 ALPC 提权漏洞 PoC 利用代码公开

📅 发布时间:2026/7/3 7:35:06 👁️ 浏览次数:
Windows 错误报告服务 ALPC 提权漏洞 PoC 利用代码公开
随着概念验证PoC利用代码的公开微软 Windows 操作系统中的一个严重本地提权LPE漏洞CVE-2026-20817浮出水面。该漏洞存在于 Windows 错误报告WER服务中允许低权限认证用户执行任意恶意代码并获取 SYSTEM 级完全权限。安全研究员 oxfemaleX/Twitter 账号 bytecodevm在 GitHub 上发布了详细研究报告及配套的 C PoC 利用代码揭示了 Windows 进程间通信错误报告机制中存在的重大安全缺陷。漏洞技术原理该漏洞核心涉及高级本地过程调用ALPC协议。WER 服务通过名为 \WindowsErrorReportingService 的特定 ALPC 端口与其他进程通信。研究发现漏洞具体存在于 SvcElevatedLaunch 方法方法编号 0x0D中WER 服务完全未能正确验证调用用户的权限。攻击者可强制服务从共享内存块读取自定义命令行参数来启动 WerFault.exe。由于 WER 服务以高权限运行新生成的进程将继承 SYSTEM 令牌该令牌包含 SeDebugPrivilege允许调试任何进程和 SeImpersonatePrivilege允许模拟任何用户等危险权限。漏洞利用步骤成功触发漏洞需要执行以下操作序列操作步骤技术说明创建共享内存创建包含任意恶意命令行的共享内存块连接 WER ALPC 端口建立与 Windows 错误报告WERALPC 端口的本地连接发送 ALPC 消息方法 0x0D发送包含客户端进程 ID、共享内存句柄和精确命令行长度的 ALPC 消息触发命令执行WER 服务复制句柄并使用提供的命令行启动 WerFault.exe影响范围与修复建议该漏洞影响包括 2026 年 1 月之前的所有 Windows 10/11 版本以及运行 Windows Server 2019/2022 的企业服务器环境。微软已在 2026 年 1 月安全更新中修复该漏洞。安全建议立即应用最新安全补丁监控环境中异常的 WerFault.exe 子进程检测异常的 SYSTEM 令牌行为以识别潜在攻击尝试