Một lỗ hổng CVE nghiêm trọng đã được phát hiện trong Dịch vụ Báo cáo Lỗi của Windows (Windows Error Reporting Service), cho phép kẻ tấn công có quyền truy cập người dùng tiêu chuẩn leo thang đặc quyền lên cấp độ SYSTEM.

CVE-2026-20817, được Microsoft vá vào tháng 1 năm 2026, đặt ra mối đe dọa đáng kể cho các môi trường Windows. Mức độ phức tạp của cuộc tấn công thấp cùng với tiềm năng chiếm quyền kiểm soát hệ thống hoàn toàn khiến nó trở thành một nguy cơ cấp bách.

CVE-2026-20817: Phân tích Tổng quan và Mức độ Nghiêm trọng

CVE-2026-20817 là một lỗ hổng leo thang đặc quyền cục bộ (Local Privilege Escalation – LPE). Lỗ hổng này được phân loại là CWE-280 (Improper Handling of Insufficient Permissions or Privileges).

Theo hệ thống chấm điểm CVSS, lỗ hổng này đạt 7.8 điểm, xếp vào mức độ Nghiêm trọng Cao. Điều này phản ánh khả năng khai thác tương đối dễ dàng và tác động nghiêm trọng đến hệ thống.

Lỗ hổng tồn tại trong Dịch vụ Báo cáo Lỗi của Windows (wersvc.dll), một dịch vụ chạy với đặc quyền NT AUTHORITYSYSTEM. Dịch vụ này lắng nghe các yêu cầu từ máy khách thông qua cổng ALPC (Advanced Local Procedure Call).

Vấn đề cốt lõi nằm ở việc dịch vụ này không kiểm tra quyền của người yêu cầu khi xử lý các yêu cầu tạo tiến trình. Điều này mở ra một kẽ hở cho phép người dùng bình thường thực hiện các hành động đặc quyền.

Cơ chế Khai thác Lỗ hổng

Lỗi Xác minh Quyền Hạn

Kẻ tấn công với đặc quyền người dùng thông thường có thể gửi một thông điệp được tạo sẵn đến dịch vụ Báo cáo Lỗi. Thông điệp này yêu cầu tạo một tiến trình mới với token đặc quyền cấp SYSTEM.

Cụ thể, chức năng CWerService::SvcElevatedLaunch trong dịch vụ này xử lý các yêu cầu mà không thực hiện bất kỳ xác minh ủy quyền nào. Điều này cho phép người dùng thông thường vượt qua các kiểm soát bảo mật ban đầu.

Chuỗi Khai thác và Tạo Token Đặc Quyền

Dịch vụ sau đó trích xuất các dòng lệnh do kẻ tấn công kiểm soát từ bộ nhớ chia sẻ và truyền chúng đến các hàm tạo tiến trình. Điều này cho phép kẻ tấn công toàn quyền kiểm soát các đối số dòng lệnh của tiến trình mới.

Điểm yếu chính nằm ở chức năng UserTokenUtility::GetProcessToken. Chức năng này tạo một token mới dựa trên token SYSTEM của dịch vụ WER, chỉ loại bỏ đặc quyền SeTcbPrivilege.

Token mới này vẫn giữ lại các đặc quyền nâng cao quan trọng khác, bao gồm SeDebugPrivilege, SeImpersonatePrivilege và SeBackupPrivilege. Các đặc quyền này cho phép kẻ tấn công thực hiện đánh cắp thông tin xác thực và chiếm quyền điều khiển hệ thống hoàn toàn.

Ảnh hưởng và Rủi ro Bảo mật

Việc khai thác thành công lỗ hổng CVE-2026-20817 có thể dẫn đến việc người dùng tiêu chuẩn leo thang đặc quyền lên cấp độ SYSTEM. Điều này mang lại cho kẻ tấn công quyền kiểm soát tuyệt đối đối với hệ thống mục tiêu.

Với các đặc quyền như SeDebugPrivilege và SeImpersonatePrivilege, kẻ tấn công có thể truy cập và thao tác với các tiến trình khác, trích xuất thông tin xác thực, và thực hiện các hành động phá hoại sâu rộng.

Microsoft đã gắn cờ lỗ hổng CVE này là “Exploitation More Likely” (Khả năng khai thác cao hơn) trong vòng 30 ngày. Cảnh báo này nhấn mạnh tính cấp thiết của việc áp dụng các bản vá bảo mật kịp thời để giảm thiểu rủi ro.

Biện pháp Khắc phục và Phòng ngừa

Áp dụng Bản vá Bảo mật

Để bảo vệ hệ thống khỏi lỗ hổng CVE-2026-20817, các tổ chức được khuyến nghị áp dụng ngay lập tức các cập nhật bản vá bảo mật của Microsoft phát hành vào tháng 1 năm 2026.

Microsoft đã khắc phục lỗ hổng này bằng cách triển khai một cờ tính năng (feature flag) để tắt hoàn toàn chức năng dễ bị tổn thương, thay vì thêm logic xác minh quyền hạn. Điều này cho thấy chức năng này có thể chỉ dành cho mục đích nội bộ và không nên được truy cập bên ngoài.

Giám sát Hệ thống khi Chưa có Bản vá

Trong trường hợp không thể áp dụng bản vá ngay lập tức, quản trị viên nên tăng cường giám sát các điểm cuối để phát hiện các sự kiện tạo tiến trình bất thường liên quan đến WerFault.exe hoặc WerMgr.exe.

Cần đặc biệt chú ý đến các tiến trình được tạo với token SYSTEM nhưng thiếu đặc quyền SeTcbPrivilege. Đây có thể là dấu hiệu của một cuộc tấn công đang diễn ra hoặc đã thành công.

# Ví dụ lệnh kiểm tra các tiến trình có đặc quyền SYSTEM và token không đầy đủ (cần công cụ nâng cao)
# (Lưu ý: Việc phát hiện chính xác yêu cầu công cụ giám sát endpoint (EDR) hoặc script PowerShell tùy chỉnh)
# Sử dụng PowerShell để liệt kê các tiến trình và thông tin token cơ bản (chỉ là ví dụ minh họa)
Get-WmiObject Win32_Process | Select-Object ProcessId, Name, CommandLine, @{Name="Owner";Expression={(Get-WmiObject win32_process -Filter "ProcessID=$($_.ProcessId)" | Select-Object -ExpandProperty GetOwner).User}} | Format-Table -AutoSize

Bài học từ CVE-2026-20817

Lỗ hổng CVE-2026-20817 một lần nữa nhấn mạnh tầm quan trọng của việc kiểm tra ủy quyền chặt chẽ trong các dịch vụ đặc quyền. Ngay cả những sơ suất nhỏ nhất cũng có thể dẫn đến việc chiếm quyền điều khiển hệ thống hoàn toàn.

Các nhà phát triển cần ưu tiên bảo mật trong quá trình thiết kế và triển khai, đặc biệt đối với các thành phần chạy ở cấp độ đặc quyền cao. Việc kiểm tra và xác thực đầu vào nghiêm ngặt là điều tối quan trọng.

Tham khảo thêm chi tiết kỹ thuật về lỗ hổng này từ nghiên cứu ban đầu tại 78researchlab Blog.