CVE-2026-20817: Windows Error Reporting арқылы SYSTEM деңгейіне шығу
Windows қателерді хабарлау қызметіндегі (WER) қауіпті осалдық — жергілікті шабуылшыларға SYSTEM деңгейіне дейін өз құқықтарын кеңейтуге мүмкіндік береді.
7.8
CVSS бағасы
ЖОҒАРЫ ҚАУІПТІЛІК
Шабуыл векторы: Жергілікті
Эксплойт дайындығы: Proof of Concept
Патч қолжетімді: Иә
Белсенді пайдалану: Расталмаған
Қысқаша — Қазір жаңартыңыз!
- CVE-2026-20817 — Windows жүйесіндегі privilege escalation осалдығы
- Шабуылшылар жүйені толық басқару үшін Windows Error Reporting (WER) қызметін пайдаланады
- Зардап шеккен нұсқалар: Windows 10, Windows 11 және Windows Server (2026 жылғы қаңтар patch-ына дейін)
- Шешім: 2026 жылғы қаңтар айының security update-ін дереу орнатыңыз
Бұл осалдық қандай?
CVE-2026-20817 — Windows Error Reporting (WER) қызметіндегі privilege escalation мәселесі. Қате Advanced Local Procedure Call (ALPC) interface-інде рұқсаттарды дұрыс тексермеуден туындайды.
Жүйеге шектеулі қатынасы бар шабуылшы (қарапайым пайдаланушы немесе бұзылған қызмет) бұл осалдықты пайдаланып, NT AUTHORITY\SYSTEM құқықтарымен кез келген кодты іске қоса алады. Бұл операциялық жүйені толық басқаруға жол ашады.
Шабуыл процесінің көрінісі
- Шабуылшы нысаналы жүйеге алдымен төмен деңгейлі қатынас алады
- Зиянды payload бар shared memory бөлімі жасалады
- Windows Error Reporting қызметіне арнайы дайындалған ALPC message жіберіледі
- Қызмет сұранысты тексермей, WerFault.exe іске қосады
- Зиянды код SYSTEM құқықтарымен орындалады
Техникалық бөлшек
Осалдық wersvc.dll файлында, нақтырақ айтқанда ALPC арқылы процесаралық байланысты өңдейтін SvcElevatedLaunch әдісінде орналасқан. Шабуылшы өзі басқаратын жад блогына нұсқайтын message жіберіп, бұл функцияны іске қосады.
Тексерудің жеткіліксіздігінен WER қызметі SYSTEM ретінде жұмыс істеп, шабуылшының деректерін оқиды және WerFault.exe-ді жоғары артықшылықтармен іске қосады. Бұл қауіпсіздік шекараларын айналып өтіп, жүйедегі ең артықшылықты пайдаланушы атынан командаларды орындауға мүмкіндік береді.
Қауіптің салдары
CVSS бағасы: 7.8 (Жоғары)
Бұл осалдық тікелей remote exploit мүмкіндігін бермегенімен, жүйеге бір рет кіргеннен кейін өте қауіпті:
• Толық басып алу: Шабуылшы SYSTEM құқығын алып, antivirus-ті өшіреді, credential-дарды ұрлайды, барлық файлдарға қатынасады.
• Persistence: Жүйе қайта іске қосылса да жұмыс істейтін backdoor орнатылады.
• Lateral movement: Жоғары артықшылықтар желідегі басқа компьютерлерге шабуыл жасауды жеңілдетеді.
Зардап шеккен нұсқалар
2026 жылғы қаңтар patch-ы орнатылмаған барлық қолдау көрсетілетін Windows нұсқалары:
• Windows 10 (21H2, 22H2 және одан кейінгі нұсқалар)
• Windows 11 (барлық нұсқалар)
• Windows Server 2019, 2022 және 2025
Қалай жөндейміз?
1-нұсқа: Windows Update (Ұсынылады)
«2026-01 Cumulative Update» орнатылғанына көз жеткізіңіз.
• Параметрлер → Update & Security → Windows Update → «Check for updates» бөліміне өтіп, жаңартуды орнатыңыз.
2-нұсқа: Registry арқылы уақытша шешім
Patch орнату мүмкін болмаса, WER қызметін өшіруге болады:
HKLM\SYSTEM\CurrentControlSet\Services\WerSvc ішінде Start мәнін 4 (Disabled) күйіне қойыңыз.
Ескерту: Бұл error reporting функциясын толығымен тоқтатады.
Осалдықты тексеру
Жүйеңізде қаңтар айының security update-і жоқ болса — privilege escalation шабуылына осал. TEPTEZ платформасы инфрақұрылымыңызды автоматты түрде scan жасап, жоқ OS patch-тарын және осал конфигурацияларды анықтайды. Біз сәйкестікті толық бақылауға және тәуекелдерді жою бойынша нақты нұсқауларды ұсынуға көмектесеміз.
Сілтемелер
Шабуыл белгілері (IoC)
- [01]Audit log-дарда WerFault.exe процесінің күтпеген параметрлері
- [02]Бөтен process-тер бастаған error reporting белсенділігі
- [03]Shared memory сегменттерінің жылдам жасалуы және \WindowsErrorReportingService портына сұраныстар
- [04]Пайдаланушы process-інің SYSTEM process-ін тудыруы (privilege escalation белгісі)
TEPTEZ арқылы жүйелеріңізді қорғаңыз
Келесі zero-day күтпеңіз. TEPTEZ жүйелеріңізді CVE осалдықтары, дұрыс емес конфигурациялар және қауіпсіздік қатерлеріне үздіксіз бақылайды.
Тегін сканерлеуді бастау