CVE-2026-20817: La vulnerabilità del servizio di segnalazione errori Windows che consente l'escalation dei privilegi

CVE-2026-20817: La vulnerabilità del servizio di segnalazione errori Windows che consente l’escalation dei privilegi

Cos’è successo e perché dovresti preoccuparti

Microsoft ha identificato una vulnerabilità critica nel servizio di segnalazione errori di Windows (CVE-2026-20817) che consente a un utente standard del computer di ottenere il controllo completo del dispositivo. Questo non è un problema minore: il servizio di segnalazione errori funziona con i massimi privilegi di sistema, il che significa che qualsiasi errore nelle verifiche di sicurezza diventa un percorso diretto verso il controllo totale del tuo computer.

La soluzione rapida è semplice: installa immediatamente gli aggiornamenti di sicurezza di Microsoft di gennaio 2026. Se non puoi farlo subito, monitora attentamente l’attività del tuo computer e considera di disabilitare temporaneamente il servizio di segnalazione errori fino a quando non potrai applicare la patch.

Come funziona l’attacco

Il servizio di segnalazione errori Windows (WER) è progettato per raccogliere informazioni quando i programmi si arrestano in modo anomalo. Normalmente, questo è un servizio utile che aiuta Microsoft a migliorare Windows. Tuttavia, i ricercatori hanno scoperto un difetto critico nel modo in cui WER gestisce le richieste di autorizzazione.

Quando un utente standard invia una richiesta al servizio WER, il servizio dovrebbe verificare se quella persona ha il diritto di fare ciò che sta chiedendo. Purtroppo, esiste un percorso di codice specifico (denominato CWerService::SvcElevatedLaunch) che non esegue questa verifica di autorizzazione. Ciò significa che un utente malintenzionato può inviare una richiesta artefatta e il servizio la tratterà come se provenisse da una fonte attendibile.

Questa vulnerabilità è classificata come CWE-280 (Improper Handling of Insufficient Permissions or Privileges), il che significa fondamentalmente che il software non controlla adeguatamente chi ha il permesso di fare cosa.

Il meccanismo dell’attacco dettagliato

Il servizio WER comunica con gli utenti attraverso una porta ALPC (Advanced Local Procedure Call), che è un metodo di comunicazione tra processi in Windows. Quando riceve una richiesta, il servizio include un percorso di codice che può avviare un processo helper con privilegi elevati.

L’aspetto pericoloso è che il servizio preleva i dati della riga di comando da una regione di memoria condivisa controllata dall’utente che effettua la richiesta. Quindi, anche se il servizio mantiene fisso l’eseguibile su componenti Windows legittimi come WerFault.exe o WerMgr.exe, l’attaccante può controllare completamente fino a 520 byte di argomenti della riga di comando passati a questi processi.

Questo è come se qualcuno ti dicesse “puoi aprire un programma di sistema, ma non puoi scegliere cosa fargli fare” e poi scoprissi che in realtà puoi controllare esattamente cosa fa attraverso parametri nascosti.

Cosa significa per la sicurezza del tuo sistema

Una volta che un attaccante sfrutta questa vulnerabilità, ottiene un token SYSTEM: fondamentalmente, il massimo livello di accesso su un computer Windows. Anche se il token viene creato senza un privilegio specifico (SeTcbPrivilege), rimane comunque abbastanza potente per supportare le azioni di post-sfruttamento comuni, come l’installazione di malware, il furto di dati sensibili o l’accesso ad altre parti della rete.

Chi è colpito

Questa vulnerabilità interessa:

  • Windows 10 versione 1809 e successive
  • Windows 11 (tutte le versioni)
  • Windows Server 2019
  • Windows Server 2022

Essenzialmente, se stai usando una versione moderna di Windows, sei potenzialmente vulnerabile fino a quando non applichi la patch.

Come proteggere il tuo dispositivo

Soluzione immediata: applicare gli aggiornamenti

La migliore protezione è applicare gli aggiornamenti di sicurezza di gennaio 2026 di Microsoft il prima possibile. Ecco come:

  1. Accedi a Impostazioni > Aggiornamento e sicurezza > Windows Update
  2. Fai clic su “Verifica aggiornamenti”
  3. Scarica e installa tutti gli aggiornamenti disponibili
  4. Riavvia il computer quando richiesto

Se non puoi applicare la patch immediatamente

Microsoft ha mitigato il problema disabilitando la funzione di avvio vulnerabile utilizzando un flag di funzione piuttosto che aggiungere un controllo di autorizzazione all’interno della funzione stessa. Tuttavia, se non puoi aggiornare subito:

  • Monitora l’attività dei processi: Presta attenzione ai processi WerFault.exe o WerMgr.exe che si comportano in modo insolito o hanno righe di comando sospette
  • Limita gli account utente: Se possibile, assicurati che gli utenti standard non abbiano accesso non necessario al sistema
  • Disabilita il servizio WER temporaneamente: Se ritieni che il rischio sia troppo elevato, puoi disabilitare il servizio di segnalazione errori fino a quando non potrai applicare la patch (anche se questo significa perdere la funzionalità di segnalazione degli errori)

Cosa dovrebbero fare le organizzazioni

Per i team IT e i responsabili della sicurezza:

  • Prioritizzare questa patch: CVE-2026-20817 ha una gravità CVSS di 7.8 (alta) e dovrebbe essere applicata rapidamente a tutti i sistemi
  • Implementare il rilevamento: Configura i tuoi strumenti di monitoraggio per cercare creazioni di processi insolite coinvolgendo WER
  • Monitorare i token SYSTEM: Cerca attività di utenti a basso privilegio che risultano in processi figlio in contesto SYSTEM legati a WER
  • Testare prima di distribuire: Come sempre, testa gli aggiornamenti in un ambiente di staging prima di distribuirli su larga scala

Contesto più ampio: parte di un’ondata di vulnerabilità

CVE-2026-20817 è una di oltre 112 vulnerabilità risolte negli aggiornamenti di sicurezza di gennaio 2026 di Microsoft, incluse due zero-day già sfruttate attivamente. Questo numero elevato di vulnerabilità sottolinea l’importanza di mantenere i sistemi aggiornati e di avere una strategia di gestione delle patch robusta.

Approfondimento tecnico

Analisi del percorso di codice vulnerabile

Per chi ha familiarità con il debug e l’analisi del malware, il percorso vulnerabile risiede nel file wersvc.dll. La funzione CWerService::SvcElevatedLaunch elabora una richiesta di creazione di processo senza verificare l’autorizzazione del chiamante. Questo è un classico esempio di CWE-280.

Il servizio ascolta su una porta ALPC e, quando riceve una richiesta di avvio elevato, non convalida adeguatamente se il processo richiedente ha il diritto di effettuare tale operazione. Invece, procede direttamente al lancio del processo helper con privilegi elevati.

Controllo della memoria condivisa

L’aspetto particolarmente interessante di questa vulnerabilità è come sfrutta il controllo della memoria condivisa. Il servizio WER estrae i dati della riga di comando da una regione di memoria condivisa controllata dal client. Poiché il servizio non convalida adeguatamente questa memoria, un attaccante può:

  1. Mantenere l’eseguibile fisso su un componente Windows legittimo (WerFault.exe o WerMgr.exe)
  2. Controllare fino a 520 byte di argomenti della riga di comando
  3. Causare l’esecuzione di codice arbitrario nel contesto SYSTEM

Creazione del token e privilegi risultanti

Il token SYSTEM risultante creato da questa vulnerabilità manca di SeTcbPrivilege (Trusted Computer Base Privilege), che è il privilegio più potente in Windows. Tuttavia, il token risultante rimane comunque estremamente potente e può essere utilizzato per:

  • Leggere file sensibili in tutto il sistema
  • Modificare le impostazioni di sicurezza del sistema
  • Installare driver o servizi di livello kernel
  • Accedere ad altre macchine sulla rete con credenziali di sistema

Telemetria e rilevamento avanzato

Per gli analisti di sicurezza che implementano il rilevamento:

  • Monitorare le creazioni di processi figlio di WER: Qualsiasi processo figlio di WerFault.exe o WerMgr.exe è sospetto, poiché questi processi normalmente non generano processi figlio
  • Analizzare le righe di comando anomale: Cerca argomenti della riga di comando insoliti passati a questi processi
  • Verificare le caratteristiche del token: Monitora i processi che hanno privilegi elevati ma mancano di SeTcbPrivilege, il che potrebbe indicare uno sfruttamento di questa vulnerabilità
  • Tracciare l’attività del registro: Monitora le modifiche al registro di sistema effettuate da processi WER, poiché i post-sfruttamento spesso modificano il registro

Mitigazione tecnica di Microsoft

Microsoft ha scelto di mitigare questo problema disabilitando la funzionalità di avvio vulnerabile utilizzando un flag di funzione. Questo significa che il codice vulnerabile esiste ancora, ma viene saltato durante l’esecuzione normale. Questo approccio è meno ideale rispetto all’aggiunta di un controllo di autorizzazione appropriato, ma è più veloce da implementare e testare.

Correlazione con altre vulnerabilità Windows

Questa vulnerabilità fa parte di un’ondata più ampia di problemi di escalation dei privilegi in Windows. Nel contesto degli aggiornamenti di gennaio 2026, altre vulnerabilità correlate includono:

  • CVE-2026-20816 (Windows Installer)
  • CVE-2026-20820 (Windows Common Log File System Driver)
  • CVE-2026-20871 (Desktop Windows Manager)

Tutte queste vulnerabilità seguono pattern simili: componenti di sistema che non verificano adeguatamente le autorizzazioni, consentendo agli utenti standard di ottenere privilegi di sistema.

Fonte: https://gbhackers.com/windows-error-reporting-flaw/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto