Dal report di errore alla shell SYSTEM: come una falla di logging di Windows è diventata il sogno di ogni hacker
Sottotitolo: Una vulnerabilità critica in Windows Error Reporting espone milioni di sistemi a una compromissione completa a livello SYSTEM-ecco come gli attaccanti potrebbero prendere il controllo del tuo PC.
Tutto è iniziato come un normale log di errore-uno dei milioni generati ogni giorno dai computer Windows in tutto il mondo. Ma per cybercriminali e ricercatori di sicurezza, una falla appena scoperta nel servizio Windows Error Reporting (WER) ha offerto una rara apertura ad altissima posta: la possibilità di ottenere il controllo totale di qualsiasi computer vulnerabile, passando da utente a basso livello a sovrano SYSTEM con pochi trucchi ingegnosi.
Fatti rapidi
- La vulnerabilità CVE-2026-20817 consente ad attaccanti locali di elevare i privilegi a SYSTEM tramite Windows Error Reporting.
- La falla è stata scoperta nella gestione dei messaggi ALPC di WerSvc.dll e interessa tutte le versioni correnti di Windows fino alla recente patch.
- La correzione di Microsoft disabilita completamente il percorso di codice vulnerabile, invece di limitarsi a correggerne la logica.
- Gli exploit proof-of-concept sono disponibili pubblicamente-alcuni “weaponized” o falsi, aumentando il rischio per i difensori.
- Microsoft Defender può rilevare tentativi di sfruttamento sospetti analizzando le relazioni tra processi.
Dentro l’exploit: come l’Error Reporting è diventato una backdoor
Scoperta da Denis Faiustov e Ruslan Sayfiev di GMO Cybersecurity, la CVE-2026-20817 prende di mira un angolo poco notato di Windows: il componente WerSvc.dll che alimenta l’Error Reporting. Normalmente, WER aiuta Microsoft a migliorare Windows registrando crash e malfunzionamenti. Ma sotto il cofano si affida ad Advanced Local Procedure Call (ALPC), un sistema per comunicazioni rapide e sicure tra processi.
Ecco dove le cose sono andate storte. Inviando un messaggio ALPC appositamente costruito-che include un valore “MessageFlags” pari a 0x50000000 e un oggetto di memoria condivisa-un attaccante con pochi privilegi poteva indurre il servizio WER a leggere dati controllati e ad avviare un nuovo processo (WerFault.exe) con privilegi di livello SYSTEM. L’attaccante, ora in possesso del massimo livello di accesso sul computer, poteva eseguire qualsiasi comando, installare malware o muoversi lateralmente nelle reti aziendali.
La risposta di Microsoft è stata rapida ma insolita. Invece di rielaborare la logica vulnerabile, hanno rimosso l’intera funzionalità rischiosa. Qualsiasi tentativo di attivare l’exploit su un sistema patchato ora fallisce con un errore 0x80004005-chiudendo di fatto la porta con un colpo secco. Anche strumenti di sicurezza come Microsoft Defender aiutano, segnalando la sospetta relazione padre-figlio tra processi che lo sfruttamento crea. Ma con codice proof-of-concept (e falsi) che circola online, la corsa è aperta: le organizzazioni devono applicare le patch prima che colpiscano gli attaccanti.
Questa falla, avvertono gli esperti, è particolarmente pericolosa negli scenari di “post-compromissione”. Una volta entrati in una rete, gli attaccanti possono usarla per elevare i privilegi, mantenere la persistenza senza farsi notare o prendere il controllo di interi sistemi-ricordandoci che persino i servizi Windows più affidabili possono diventare un anello debole se le loro comunicazioni interne non sono a tenuta stagna.
Conclusione
La saga della CVE-2026-20817 è un monito netto: nel mondo della difesa informatica, persino i log di errore possono diventare armi. Man mano che gli attaccanti diventano più audaci e creativi, gli angoli più banali dei nostri sistemi operativi richiedono un’attenzione nuova. Per i difensori, la lezione è chiara-patch subito, monitora a fondo e non sottovalutare mai il potere dei servizi di sistema trascurati.
WIKICROOK
- Privilegi SYSTEM: i privilegi SYSTEM sono i diritti di accesso più elevati su un sistema Windows, consentendo il controllo completo su file, impostazioni e operazioni.
- Elevazione dei privilegi (EoP): l’elevazione dei privilegi (EoP) è una falla di sicurezza che permette agli attaccanti di ottenere diritti di accesso più alti del previsto, ad esempio trasformando un utente normale in un amministratore.
- Advanced Local Procedure Call (ALPC): ALPC è un meccanismo di Windows che consente comunicazioni sicure ed efficienti tra processi sulla stessa macchina, migliorando il vecchio sistema LPC.
- WerSvc.dll: WerSvc.dll è un file di sistema chiave di Windows che alimenta il servizio Windows Error Reporting, aiutando a raccogliere e inviare a Microsoft i dati sui crash.
- Proof: un Proof-of-Concept (PoC) è una dimostrazione che mostra come una vulnerabilità di cybersecurity possa essere sfruttata, aiutando a validare e valutare i rischi reali.




