ចំណុចខ្សោយ PoC ត្រូវបានចេញផ្សាយសម្រាប់ការរាយការណ៍កំហុស Windows ALPC Privilege Escalation

ចំណុចខ្សោយដ៏សំខាន់មួយរបស់ Local Privilege Escalation (LPE) ដែលប៉ះពាល់ដល់ Microsoft Windows ទើបតែលេចចេញជារូបរាងឡើង បន្ទាប់ពីការចេញផ្សាយជាសាធារណៈនៃ Proof-of-Concept (PoC) exploit។

ចំណុចខ្សោយសុវត្ថិភាពនេះ ដែលត្រូវបានតាមដានថាជា CVE-2026-20817 ស្ថិតនៅក្នុងសេវាកម្ម Windows Error Reporting (WER)។

ចំណុចខ្សោយនេះអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ដែលមានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដែលមានសិទ្ធិកម្រិតទាប អាចប្រតិបត្តិកូដព្យាបាទដោយបំពានជាមួយនឹងសិទ្ធិ SYSTEM ពេញលេញ។

ការស្រាវជ្រាវលម្អិត និងការកេងប្រវ័ញ្ច C++ PoC ដែលភ្ជាប់មកជាមួយត្រូវបានបោះពុម្ពផ្សាយនៅលើ GitHub ដោយអ្នកស្រាវជ្រាវសន្តិសុខ @oxfemale (ត្រូវបានគេស្គាល់ផងដែរថាជា @bytecodevm នៅលើ X/Twitter)។

ការចេញផ្សាយនេះបង្ហាញពីគម្លាតសុវត្ថិភាពដ៏សំខាន់មួយនៅក្នុងយន្តការរាយការណ៍កំហុសរបស់ Windows សម្រាប់ការទំនាក់ទំនងអន្តរដំណើរការ។

ស្នូលនៃភាពងាយរងគ្រោះនេះពាក់ព័ន្ធនឹងពិធីការ Advanced Local Procedure Call (ALPC)។

សេវាកម្ម WER បង្ហាញច្រក ALPC ជាក់លាក់មួយដែលមានឈ្មោះថា \WindowsErrorReportingService ដើម្បីសម្រួលដល់ការទំនាក់ទំនងជាមួយដំណើរការផ្សេងទៀត។

យោងតាមការរកឃើញរបស់អ្នកស្រាវជ្រាវ ចំណុចខ្វះខាតនេះមានជាពិសេសនៅក្នុងវិធីសាស្ត្រ SvcElevatedLaunch ដែលត្រូវបានកំណត់ថាជាវិធីសាស្ត្រ 0x0D។ សេវាកម្ម WER បរាជ័យទាំងស្រុងក្នុងការផ្ទៀងផ្ទាត់សិទ្ធិអ្នកប្រើប្រាស់ដែលហៅចូលបានត្រឹមត្រូវ។

ជាលទ្ធផល អ្នកវាយប្រហារអាចបង្ខំសេវាកម្មឱ្យបើកដំណើរការ WerFault.exe ដោយប្រើប៉ារ៉ាម៉ែត្របន្ទាត់ពាក្យបញ្ជាផ្ទាល់ខ្លួនដែលផ្គត់ផ្គង់ពីប្លុកអង្គចងចាំដែលបានចែករំលែក។

ខណៈពេលដែលវាមិនផ្តល់សិទ្ធិឱ្យ SeTcbPrivilege ដើរតួជាផ្នែកមួយនៃប្រព័ន្ធប្រតិបត្តិការខ្លួនឯង សិទ្ធិដែលទទួលបាននៅតែផ្តល់សិទ្ធិចូលប្រើប្រព័ន្ធពេញលេញ។

ភាពងាយរងគ្រោះនេះប៉ះពាល់ដល់ប្រព័ន្ធប្រតិបត្តិការជាច្រើនប្រភេទ។ នេះរួមបញ្ចូលទាំង Windows 10 និង Windows 11 គ្រប់កំណែមុនខែមករា ឆ្នាំ 2026 ក៏ដូចជាបរិស្ថានម៉ាស៊ីនមេសហគ្រាសដែលដំណើរការ Windows Server 2019 និង Windows Server 2022។

ក្រុមហ៊ុន Microsoft បានដោះស្រាយភាពងាយរងគ្រោះនេះជាផ្លូវការនៅក្នុងការអាប់ដេតសុវត្ថិភាពខែមករា ឆ្នាំ 2026។

យោងតាម ​​PoC ដែលបានចេញផ្សាយនៅលើ GitHub អង្គការ និងអ្នកគ្រប់គ្រងប្រព័ន្ធត្រូវបានណែនាំយ៉ាងមុតមាំឱ្យអនុវត្តបំណះសុវត្ថិភាពចុងក្រោយបំផុតភ្លាមៗដើម្បីធានាសុវត្ថិភាពបណ្តាញរបស់ពួកគេ។

ក្រុមសន្តិសុខក៏គួរតែតាមដានបរិស្ថានរបស់ពួកគេសម្រាប់ដំណើរការកូន WerFault.exe ដែលមិនធម្មតា និងឥរិយាបថសញ្ញាសម្ងាត់ប្រព័ន្ធមិនទៀងទាត់ ដើម្បីរកឃើញការកេងប្រវ័ញ្ចដែលអាចកើតមាន។