O que é a vulnerabilidade

A vulnerabilidade, identificada como CVE-2026-20817, afeta o serviço Windows Error Reporting (WER). Ela permite que um usuário local com privilégios padrão escale para privilégios de SYSTEM, explorando um manejo inadequado de permissões.

Como funciona o ataque

O ataque ocorre quando um usuário de baixo privilégio envia uma carga maliciosa para o servidor ALPC do WER, explorando a função vulnerável no WerSvc.dll. Isso resulta na execução do WerFault.exe com privilégios de SYSTEM.

Sinais de alerta

Identificar a exploração pode ser desafiador, mas alguns sinais incluem:

• Atividade suspeita no log de eventos do sistema
• Execução inesperada de processos com privilégios elevados

Como se proteger

Para se proteger, é crucial:

• Aplicar atualizações de segurança da Microsoft imediatamente
• Monitorar logs de eventos para atividades suspeitas
• Restringir o acesso a contas de usuário padrão

Checklist prático

1. Verifique se o sistema está atualizado
2. Revise logs de eventos regularmente
3. Implemente políticas de acesso restritivas

Perguntas frequentes

Qual é o impacto dessa vulnerabilidade?

Ela permite que atacantes locais escalem privilégios para SYSTEM, comprometendo a segurança do sistema.

Como posso saber se fui afetado?

Verifique logs de eventos para atividades suspeitas e aplique as atualizações de segurança.

O que a Microsoft fez para mitigar o risco?

A Microsoft removeu a funcionalidade afetada para evitar a exploração da falha.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao, SGSI, Plano Diretor de Seguranca e Auditoria Interna. lcsec.io

Fontes:
https://gbhackers.com/windows-error-reporting-vulnerability/