Un investigador ha liberado el código de prueba de concepto (PoC) para una vulnerabilidad crítica que permite a cualquier usuario local tomar el control total del equipo manipulando el servicio Windows Error Reporting.
Las herramientas diseñadas para diagnosticar problemas en nuestro sistema operativo pueden ser el vehículo perfecto para comprometerlo. Hoy, 2 de marzo de 2026, se informa que ha salido a la luz un exploit funcional de Prueba de Concepto (PoC) para una vulnerabilidad crítica de Escalada de Privilegios Locales (LPE) que afecta a Microsoft Windows.
Registrada bajo el identificador CVE-2026-20817, esta brecha de seguridad reside dentro del servicio de Reporte de Errores de Windows (WER). Permite a un usuario autenticado, incluso si solo posee privilegios de nivel bajo, ejecutar código malicioso arbitrario escalando hasta obtener los privilegios máximos de la cuenta SYSTEM.
La investigación detallada, junto con el código del exploit escrito en C++, fue publicada en GitHub por la investigadora de seguridad @oxfemale (también conocida como @bytecodevm en la red social X).
La Anatomía del Fallo: El Protocolo ALPC
El núcleo de esta vulnerabilidad gira en torno al protocolo de Llamada a Procedimiento Local Avanzado (ALPC), el mecanismo que usa Windows para la comunicación entre procesos.
- El servicio de reporte de errores (WER) expone un puerto ALPC específico llamado \WindowsErrorReportingService para facilitar su comunicación con otros procesos del sistema.
- Según los hallazgos de la investigadora, la vulnerabilidad existe específicamente en el método SvcElevatedLaunch, identificado técnicamente como el método 0x0D.
- El defecto fatal es que el servicio WER falla por completo al validar los permisos del usuario que está realizando la llamada.
Pasos para la Explotación Total
Aprovechar este descuido de validación es sorprendentemente directo. Un atacante solo necesita seguir una secuencia estructurada:
- Crear Memoria Compartida: El atacante crea un bloque de memoria compartida que contiene una línea de comandos maliciosa y arbitraria.
- Conectar al Puerto: Establece una conexión local directamente al puerto ALPC del servicio WER.
- Enviar el Mensaje Trucado: Envía un mensaje ALPC utilizando el método vulnerable (0x0D), incluyendo el ID de su proceso cliente, el identificador (handle) de la memoria compartida y la longitud exacta de la línea de comandos.
- Detonar la Ejecución: Al recibir esto, el servicio WER (que se ejecuta con privilegios altísimos) duplica el handle y lanza el ejecutable legítimo WerFault.exe, pero utilizando la línea de comandos maliciosa suministrada por el atacante.
Dado que el nuevo proceso WerFault.exe es generado por un servicio de alto nivel, hereda automáticamente el token de SYSTEM. Este token incluye permisos extremadamente peligrosos para los defensores, como SeDebugPrivilege (que permite depurar e inyectar código en cualquier proceso) y SeImpersonatePrivilege (que permite hacerse pasar por cualquier otro usuario del sistema), otorgando de facto un acceso total al equipo.
Alcance y Mitigación
La vulnerabilidad tiene un impacto masivo en el ecosistema de Microsoft. Afecta a todas las versiones de Windows 10 y Windows 11 anteriores a enero de 2026, así como a los entornos corporativos que ejecutan Windows Server 2019 y Windows Server 2022.
Microsoft ya había abordado este fallo de manera oficial en su ronda de actualizaciones de seguridad de enero de 2026. Con la liberación pública de este PoC en GitHub, se aconseja encarecidamente a los administradores de sistemas que no hayan instalado los parches que los apliquen de inmediato para asegurar sus redes. Paralelamente, los equipos del SOC (Security Operations Center) deben monitorear activamente sus entornos en busca de procesos secundarios inusuales.
