Dal Crash alla Corona: come un glitch di Windows ha consegnato agli hacker le chiavi del regno
Una falla critica in Windows Error Reporting ha aperto un percorso furtivo che consente agli aggressori di ottenere privilegi di massimo livello, facendo scattare l’allarme per utenti e difensori.
Tutto è iniziato con un crash: uno di quei momenti familiari e frustranti in cui Windows si blocca e compare il reporter degli errori. Ma sotto quella superficie ordinaria si nascondeva un pericolo: una vulnerabilità così grave che un utente normale, con il giusto know-how, poteva impossessarsi silenziosamente del controllo dell’intera macchina. Benvenuti nella storia di CVE-2026-20817, un bug che ha trasformato Windows Error Reporting (WER) in una rampa di lancio per aspiranti aggressori.
Le radici tecniche del problema sono profonde. Al centro, il servizio Windows Error Reporting-responsabile della raccolta dei dati di crash-stava ascoltando silenziosamente istruzioni attraverso un canale di comunicazione locale. In condizioni normali, dovrebbe essere innocuo. Ma una svista critica faceva sì che il servizio non verificasse chi stesse bussando. A un aggressore locale bastavano un account utente standard e la conoscenza di come costruire un messaggio speciale. Il risultato? Poteva istruire il servizio ad avviare un processo, come WerFault.exe, con argomenti malevoli e, soprattutto, con privilegi quasi da SYSTEM.
Non si trattava di un rischio teorico. Ricercatori di sicurezza hanno dimostrato l’attacco su Windows 11 23H2, mostrando come un utente a basso privilegio potesse generare processi potenti-potenzialmente in grado di rubare credenziali, mantenere persistenza o persino compromettere completamente un sistema se combinato con altre vulnerabilità. La catena di exploit iniziava con una funzione chiamata SvcElevatedLaunch, che non verificava i permessi dell’utente prima di consegnare le chiavi del regno.
La correzione di Microsoft è stata rapida ma decisiva. La patch di gennaio 2026 ha introdotto un nuovo feature flag per bloccare la funzione esposta, chiudendo la falla. Per chi è indietro con gli aggiornamenti, la raccomandazione è chiara: disabilitare immediatamente il servizio WER per interrompere il vettore d’attacco.
Il rilevamento, però, è un’altra storia. I team di sicurezza sono invitati a monitorare attività insolite: WerFault.exe o WerMgr.exe avviati con righe di comando strane, oppure processi SYSTEM che compaiono dove non dovrebbero. Strumenti come Sysmon possono aiutare a individuare manipolazioni sospette dei token, e mantenere una solida baseline del comportamento dei processi è oggi più importante che mai.
Ora che la polvere si posa, il bug di WER resta un monito netto: anche gli strumenti di sistema più innocui possono essere trasformati in armi da avversari determinati. Nell’incessante partita a scacchi della difesa cyber, ogni pezzo sulla scacchiera conta-e a volte sono proprio i pedoni a rappresentare la minaccia più grave.
WIKICROOK
- Privilegi SYSTEM: i privilegi SYSTEM sono i diritti di accesso più elevati su un sistema Windows, consentendo il pieno controllo su file, impostazioni e operazioni.
- Porta ALPC: le porte ALPC sono canali Windows sicuri per una comunicazione inter-processo rapida, essenziali per le operazioni di sistema ma da monitorare per prevenire rischi di sicurezza.
- Token: un token è una chiave digitale che verifica l’identità e concede accesso ai sistemi. Se rubato o usato impropriamente, può consentire agli aggressori un ingresso non autorizzato.
- Escalation di privilegi: l’escalation di privilegi si verifica quando un aggressore ottiene accesso di livello superiore, passando da un account utente normale a privilegi di amministratore su un sistema o una rete.
- WerFault.exe: WerFault.exe gestisce Windows Error Reporting, raccogliendo i dati di crash e inviando report a Microsoft per aiutare a diagnosticare e risolvere i problemi di sistema.




