התגלתה פרצת אבטחה קריטית בשירות הדיווח על שגיאות של ווינדוס (Windows Error Reporting Service), המאפשרת לתוקפים בעלי גישה בסיסית בלבד לשדרג את הרשאותיהם לרמת SYSTEM, רמת השליטה הגבוהה ביותר במערכת ההפעלה.
הפרצה, שסומנה כ-CVE-2026-20817, מעוררת דאגה רבה בקהילת הסייבר בשל מורכבות התקיפה הנמוכה והפוטנציאל ההרסני שלה להשתלטות מוחלטת על רשתות ארגוניות.
איך זה עובד? הכשל במנגנון ה-Windows Error Reporting
הפרצה קיימת בקובץ השירות wersvc.dll, האחראי על ניהול דוחות שגיאה במערכת. שירות זה פועל עם הרשאות מערכת (SYSTEM) ומאזין לבקשות לקוח. התגלה כי השירות נכשל באימות ההרשאות של מבקש הבקשה כאשר הוא מעבד פקודות ליצירת תהליכים (Process Creation).
תוקף עם הרשאות משתמש רגילות יכול לשלוח הודעה מיוחדת לשירות, שתגרום לו ליצור תהליך חדש עם "טוקן" (Token) של רמת SYSTEM. למרות שחלק מההרשאות הספציפיות מוסרות מהטוקן הזה, הוא עדיין שומר על כוחות קריטיים כמו SeDebugPrivilege ו-SeImpersonatePrivilege, המאפשרים גניבת אישורי כניסה והשתלטות מלאה על המחשב.
הפתרון של מיקרוסופט: כיבוי המנגנון במקום תיקונו
מיקרוסופט שחררה עדכון אבטחה בינואר 2026 המטפל בבעיה, אך בדרך מעניינת: במקום להוסיף לוגיקה מורכבת של אימות הרשאות, החברה פשוט הוסיפה "דגל" (Feature Flag) שמכבה את הפונקציונליות הפגיעה לחלוטין. הצעד הזה מרמז כי התכונה הזו נועדה ככל הנראה לשימוש פנימי בלבד של מיקרוסופט ומעולם לא הייתה אמורה להיות נגישה למשתמשים חיצוניים.
למרות התיקון, מיקרוסופט הגדירה את הסבירות לניצול הפרצה כ"גבוהה מאוד" (Exploitation More Likely) בתוך 30 הימים הקרובים, מה שמחייב מנהלי מערכות לפעול במהירות.
צעדי מניעה: מה עליכם לעשות עכשיו?
אם טרם עדכנתם את מערכות ה-Windows שלכם, אתם חשופים באופן מיידי.
להלן ההמלצות הקריטיות:
- התקנת עדכוני ינואר 2026: יש לוודא כי כל המחשבים בארגון מריצים את עדכוני האבטחה האחרונים של מיקרוסופט.
- ניטור הדוק: במקומות בהם לא ניתן לעדכן מיידית, יש להגביר את הניטור על תהליכי
WerFault.exeאוWerMgr.exe. - זיהוי חריגות: חפשו תהליכים שנוצרו על ידי שירותים אלו עם הרשאות SYSTEM אך ללא הרשאת
SeTcbPrivilege, זהו סימן מובהק לניסיון ניצול של הפרצה.
