Январский «Patch Tuesday» 2026 года от Microsoft принес исправления для 114 уязвимостей, из которых 8 классифицированы как критические, а 106 — как важные. По данным компании Fortra, это третий по объему январский выпуск обновлений безопасности в истории, уступающий только релизам 2025 и 2022 годов. Помимо основных исправлений операционной системы, внимание было уделено браузеру Edge, где были закрыты две бреши, обнаруженные после декабрьского обновления: CVE-2025-65046 (уязвимость спуфинга в приложении Android) и CVE-2026-0628 (недостаточное применение политик в теге WebView Chromium).
Центральным элементом обновления стало устранение активно эксплуатируемой уязвимости нулевого дня CVE-2026-20805 в компоненте Desktop Window Manager (DWM). Брешь, оцененная в 5.5 баллов по шкале CVSS, относится к типу раскрытия информации и была обнаружена специалистами Microsoft Threat Intelligence Center (MTIC) и Microsoft Security Response Center (MSRC). Технические данные указывают, что проблема позволяет локально авторизованному злоумышленнику раскрыть адрес раздела удаленного порта ALPC в памяти пользовательского режима. Это, в свою очередь, используется для подрыва защиты Address Space Layout Randomization (ASLR), раскрывая местоположение кода в памяти для дальнейшего построения цепочек атак.
Эксперты индустрии выразили серьезную обеспокоенность по поводу этой угрозы. Адам Барнетт, ведущий инженер-программист Rapid7, отметил, что DWM является привлекательной мишенью из-за своего привилегированного доступа и универсальной доступности. Сатнам Наранг, старший научный сотрудник Tenable, назвал DWM «частым гостем» обновлений Patch Tuesday, напомнив, что с 2022 года в этом компоненте было исправлено уже 20 CVE. В мае 2024 года, например, была закрыта уязвимость CVE-2024-30051, которую использовали QakBot и другие вредоносные программы.
Практическая опасность CVE-2026-20805 заключается в превращении сложных теоретических атак в реальные. Джек Бисер, директор по исследованию уязвимостей Action1, подчеркивает, что этот баг позволяет локальным атакующим победить ASLR. Кев Брин, старший директор по исследованию киберугроз Immersive, добавляет, что уязвимость трансформирует ненадежные эксплойты в практичные и повторяемые атаки путем обхода защиты памяти. В связи с этим Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило ошибку в каталог известных эксплуатируемых уязвимостей (KEV), обязав федеральные агентства (FCEB) применить исправления до 3 февраля 2026 года.
Критический статус получило также исправление CVE-2026-20876 (CVSS 6.7) в анклаве безопасности на основе виртуализации Windows (VBS Enclave). Ошибка повышения привилегий позволяет злоумышленнику получить уровень доступа Virtual Trust Level 2 (VTL2), что открывает путь к подрыву средств контроля безопасности и глубокому закреплению в системе. Майк Уолтерс, президент и соучредитель Action1, заявил, что эта уязвимость «нарушает границу безопасности, защищающую саму Windows, позволяя подниматься на доверенные уровни выполнения», и предупредил, что атакующие с начальным доступом могут обойти даже передовые методы защиты.
Обновление также затронуло механизмы безопасной загрузки. Уязвимость CVE-2026-21265 (CVSS 6.4) связана с обходом функций безопасности из-за истечения срока действия сертификатов. Это создает риск запуска вредоносного ПО на этапе загрузки. Microsoft напомнила о графике замены сертификатов, анонсированном в ноябре 2025 года: старые сертификаты Microsoft Corporation KEK CA 2011 и Microsoft UEFI CA 2011 должны быть заменены на версии 2023 года до июня 2026 года, а Microsoft Windows Production PCA 2011 — до октября 2026 года.
В рамках борьбы с устаревшими угрозами Microsoft предприняла решительные шаги по удалению нативных сторонних драйверов. Из системы были исключены файлы
Помимо Microsoft, с начала месяца обновления безопасности выпустил широкий ряд вендоров. Среди них технологические гиганты Adobe, Amazon Web Services (AWS), Google (для продуктов Android, Pixel, Chrome, Cloud), Cisco, Broadcom (включая VMware) и IBM. Масштабные исправления также представили производители оборудования AMD, Arm, Dell, Lenovo, Intel, а также разработчики дистрибутивов Linux (включая Red Hat, Ubuntu, Debian, SUSE) и Mozilla (Firefox).
Изображение носит иллюстративный характер
Центральным элементом обновления стало устранение активно эксплуатируемой уязвимости нулевого дня CVE-2026-20805 в компоненте Desktop Window Manager (DWM). Брешь, оцененная в 5.5 баллов по шкале CVSS, относится к типу раскрытия информации и была обнаружена специалистами Microsoft Threat Intelligence Center (MTIC) и Microsoft Security Response Center (MSRC). Технические данные указывают, что проблема позволяет локально авторизованному злоумышленнику раскрыть адрес раздела удаленного порта ALPC в памяти пользовательского режима. Это, в свою очередь, используется для подрыва защиты Address Space Layout Randomization (ASLR), раскрывая местоположение кода в памяти для дальнейшего построения цепочек атак.
Эксперты индустрии выразили серьезную обеспокоенность по поводу этой угрозы. Адам Барнетт, ведущий инженер-программист Rapid7, отметил, что DWM является привлекательной мишенью из-за своего привилегированного доступа и универсальной доступности. Сатнам Наранг, старший научный сотрудник Tenable, назвал DWM «частым гостем» обновлений Patch Tuesday, напомнив, что с 2022 года в этом компоненте было исправлено уже 20 CVE. В мае 2024 года, например, была закрыта уязвимость CVE-2024-30051, которую использовали QakBot и другие вредоносные программы.
Практическая опасность CVE-2026-20805 заключается в превращении сложных теоретических атак в реальные. Джек Бисер, директор по исследованию уязвимостей Action1, подчеркивает, что этот баг позволяет локальным атакующим победить ASLR. Кев Брин, старший директор по исследованию киберугроз Immersive, добавляет, что уязвимость трансформирует ненадежные эксплойты в практичные и повторяемые атаки путем обхода защиты памяти. В связи с этим Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило ошибку в каталог известных эксплуатируемых уязвимостей (KEV), обязав федеральные агентства (FCEB) применить исправления до 3 февраля 2026 года.
Критический статус получило также исправление CVE-2026-20876 (CVSS 6.7) в анклаве безопасности на основе виртуализации Windows (VBS Enclave). Ошибка повышения привилегий позволяет злоумышленнику получить уровень доступа Virtual Trust Level 2 (VTL2), что открывает путь к подрыву средств контроля безопасности и глубокому закреплению в системе. Майк Уолтерс, президент и соучредитель Action1, заявил, что эта уязвимость «нарушает границу безопасности, защищающую саму Windows, позволяя подниматься на доверенные уровни выполнения», и предупредил, что атакующие с начальным доступом могут обойти даже передовые методы защиты.
Обновление также затронуло механизмы безопасной загрузки. Уязвимость CVE-2026-21265 (CVSS 6.4) связана с обходом функций безопасности из-за истечения срока действия сертификатов. Это создает риск запуска вредоносного ПО на этапе загрузки. Microsoft напомнила о графике замены сертификатов, анонсированном в ноябре 2025 года: старые сертификаты Microsoft Corporation KEK CA 2011 и Microsoft UEFI CA 2011 должны быть заменены на версии 2023 года до июня 2026 года, а Microsoft Windows Production PCA 2011 — до октября 2026 года.
В рамках борьбы с устаревшими угрозами Microsoft предприняла решительные шаги по удалению нативных сторонних драйверов. Из системы были исключены файлы
agrsm64.sys и agrsm.sys, относящиеся к модемам Agere Soft Modem. Причиной стала их уязвимость к CVE-2023-31096 — двухлетней ошибке повышения привилегий, позволяющей получить права SYSTEM. Подобная практика уже применялась в октябре 2025 года, когда был удален драйвер Agere ltmdm64.8. Помимо Microsoft, с начала месяца обновления безопасности выпустил широкий ряд вендоров. Среди них технологические гиганты Adobe, Amazon Web Services (AWS), Google (для продуктов Android, Pixel, Chrome, Cloud), Cisco, Broadcom (включая VMware) и IBM. Масштабные исправления также представили производители оборудования AMD, Arm, Dell, Lenovo, Intel, а также разработчики дистрибутивов Linux (включая Red Hat, Ubuntu, Debian, SUSE) и Mozilla (Firefox).
