セキュリティ研究者 itm4n(Clément Labro)は2026年3月22日、WindowsのWindows Error Reporting(WER)サービスに存在する権限昇格脆弱性 CVE-2026-20817 のバイナリ差分分析とPoC(概念実証コード)を公開しました。
本脆弱性は、低権限のローカルユーザーが細工したALPCメッセージを送信するだけで、WERサービスがWerFault.exeをSYSTEMの権限で実行するというものです。その深刻さはMicrosoftの対応にも表れており、通常の修正パッチではなく脆弱な機能を丸ごと削除するという異例の対応が取られました。
【 対応状況 ─ 対象KBは以下のとおりです】
本脆弱性は2026年1月13日のPatch Tuesdayで修正済みです。未適用の環境は速やかに対応してください。
- Windows 11 25H2 / 24H2:KB5074109
- Windows 11 23H2:KB5073455
- Windows 10 22H2 / 21H2:KB5073453
- Windows Server 2025:KB5073379
- Windows Server 2022:KB5073457
- Windows Server 2019:KB5073723
- Windows Server 2016:KB5073722
脆弱性の概要
| 項目 | 詳細 |
|---|---|
| CVE番号 | CVE-2026-20817 |
| 脆弱性の種類 | Elevation of Privilege(権限昇格 / EoP) |
| CWE分類 | CWE-280:Improper Handling of Insufficient Permissions or Privileges(不十分な権限・特権の不適切な処理) |
| 影響コンポーネント | Windows Error Reporting サービス(WerSvc.dll) |
| 脆弱な関数 | CWerService::SvcElevatedLaunch |
| 攻撃の性質 | ローカルからの攻撃(リモート悪用不可) |
| 必要な権限 | 低権限ユーザー(通常のローカルアカウント) |
| 悪用後の影響 | SYSTEM権限の取得(完全なシステム制御) |
| 悪用可能性 | MSRCの評価:「より悪用されやすい(More Likely)」 |
| 発見者 | Denis Faiustov・Ruslan Sayfiev(GMO Cybersecurity) |
| PoC発表者 | itm4n(Clément Labro)― 2026年3月22日公開 |
| 修正パッチ | 2026年1月 Patch Tuesday(WerSvc.dll バージョン 10.0.26100.7623 以降) |
| 1次情報源 | itm4n’s blog(PoC・バイナリ差分分析)・MSRC(CVE-2026-20817) |
何が起きたか
調査レポートによると、修正前後の WerSvc.dll を比較した結果、主な変更点は SvcElevatedLaunch に集中していました。パッチ適用後は、該当機能が有効条件を満たすと即座に失敗を返すようになっており、itm4n 氏はこの修正を 脆弱な機能の実質的な削除 と評価しています。つまり、入力検証の強化だけで塞いだのではなく、危険な起動経路そのものを止めた形です。
同レポートでは、サービスが作成する ALPC ポートを通じて要求が受け付けられ、共有メモリのように使われる File Mapping 経由でコマンドライン引数が渡される構造も分析されています。その結果、クライアント側が一定範囲で起動オプションを制御できることが、問題の本質だと説明されています。もっとも、PoCは exploit を完成させたものではなく、著者自身も さらなる作業が必要 と明記しています。
Windows Defenderによる検知
PoCの実行において、WERサービスは WerFault.exe を新規プロセスとして作成する際に、以下の技術を使用します。
- クライアントのPIDを偽装し、そのプロセスを親プロセスとして設定する一連のAPI呼び出し(親プロセス偽装技術)
- これにより
WerFault.exeがクライアントプロセスの子プロセスとして生成される
この「親プロセス偽装」はマルウェアに広く悪用される手法であることが知られており、Windows Defenderはこの不審な動作を検知してアラートを発生させます。
参考情報








