Microsoft Patch Tuesday (styczeń 2026): 114 poprawek i 3 luki zero-day – jedna aktywnie wykorzystywana (CVE-2026-20805)

securitybeztabu.pl 1 dzień temu

Wprowadzenie do problemu / definicja luki

Styczniowy Patch Tuesday 2026 od Microsoftu to duża paczka poprawek bezpieczeństwa: 114 luk, w tym 3 podatności typu zero-day (jedna potwierdzona jako aktywnie wykorzystywana) oraz 8 luk o randze Critical. W praktyce oznacza to, iż organizacje powinny potraktować ten cykl jako „priorytetowy” – szczególnie tam, gdzie Windows jest rdzeniem środowiska (stacje robocze, serwery, VDI).

W skrócie

  • Łącznie: 114 luk (Microsoft) oraz dodatkowe elementy/aktualizacje opisane w analizach vendorów.
  • Zero-day (3):
    • CVE-2026-20805 (Desktop Window Manager) – aktywnie wykorzystywana, information disclosure.
    • CVE-2026-21265 – obejście Secure Boot związane z wygasaniem certyfikatów z 2011 r. (publicznie ujawniona).
    • CVE-2023-31096 – eskalacja uprawnień w sterownikach Agere Soft Modem; Microsoft usuwa podatne sterowniki.
  • Największe kategorie: 57 EoP, 22 RCE, 22 Info Disclosure (wg zestawień).

Kontekst / historia / powiązania

Microsoft klasyfikuje „zero-day” jako lukę publicznie ujawnioną lub aktywnie wykorzystywaną w momencie braku oficjalnej poprawki. W styczniu 2026 w tę definicję wpadają trzy podatności, z których najważniejsza operacyjnie jest CVE-2026-20805 (potwierdzone wykorzystanie).

Na osobną uwagę zasługuje wątek wygasania łańcucha zaufania Secure Boot: Microsoft opublikował wcześniej (2025) obszerną dokumentację o certyfikatach z 2011 r. i konieczności aktualizacji do nowych certyfikatów z 2023 r. przed terminami wygaśnięcia w 2026 r.

Analiza techniczna / szczegóły luki

1) CVE-2026-20805 – Desktop Window Manager (DWM) Information Disclosure (aktywnie wykorzystywana)

To „wyciek informacji” lokalnie, ale realnie bywa kluczowym elementem łańcucha ataku: wycieki adresów/fragmentów pamięci potrafią zwiększać niezawodność exploitów (np. omijanie mechanizmów ochronnych). W opisach pojawia się wątek ujawnienia adresu sekcji z „remote ALPC port”, co może wspierać kolejne etapy eksploatacji.

2) CVE-2026-21265 – Secure Boot Certificate Expiration (Security Feature Bypass)

Sedno problemu nie jest klasycznym RCE, tylko ryzykiem „rozjechania się” zaufania w Secure Boot, jeżeli urządzenia nie dostaną na czas nowych certyfikatów. Microsoft wskazuje, iż oryginalne certyfikaty obecne na urządzeniach od czasu wprowadzenia Secure Boot w Windows są bliskie wygaśnięcia i wymagają aktualizacji (KEK i DB/DBX) do wersji z 2023 r.

Konkrety z dokumentacji Microsoftu:

  • certyfikaty z 2011 r. wygasają m.in. w czerwcu 2026 oraz w październiku 2026 (w zależności od CA/roli), a brak aktualizacji może wpłynąć na zdolność do dalszego zaufanego uruchamiania/aktualizowania komponentów pre-boot.

3) CVE-2023-31096 – Agere Soft Modem Driver (EoP)

Ta podatność dotyczy sterowników modemowych dostarczanych z Windows. W praktyce Microsoft rozwiązuje problem „twardo”: usuwa podatne sterowniki (np. wskazywane jako agrsm64.sys/agrsm.sys w analizach). To może mieć efekt uboczny: bardzo stare urządzenia/komponenty zależne od tych sterowników mogą przestać działać.

Krytyczne podatności (przykłady z analiz)

Wśród „Critical” przewijają się m.in. komponenty Windows i Office, w tym scenariusze RCE przez pliki (Word/Excel/Office) oraz krytyczne elementy systemu (np. grafika, VBS enclave, LSASS).

Praktyczne konsekwencje / ryzyko

  • Najwyższy priorytet ma CVE-2026-20805, bo mamy potwierdzone wykorzystanie „in the wild” (nawet jeżeli to „tylko” information disclosure). Takie luki często wspierają niezawodne obejście zabezpieczeń w łańcuchu exploitów.
  • Ryzyko operacyjne: usunięcie sterowników Agere Soft Modem może powodować incydenty kompatybilności w niszowych/legacy środowiskach.
  • Ryzyko długiego ogona: Secure Boot cert expiry to problem „zegarowy” – jeżeli urządzenia nie zostaną przygotowane przed terminami w 2026 r., mogą pojawić się trudne do diagnozy problemy z zaufaniem rozruchu i aktualizacjami komponentów pre-boot.

Rekomendacje operacyjne / co zrobić teraz

  1. Zrób szybkie priorytetyzowanie (triage)
    • „P1”: systemy Windows (stacje/serwery) narażone na lokalną eskalację/łańcuch exploitów → pilne wdrożenie poprawek pod CVE-2026-20805.
  2. Wdróż aktualizacje etapami, ale szybko
    • Pilot (IT/Power Users) → produkcja; szczególnie dla środowisk z dużą liczbą endpointów.
  3. Secure Boot: zacznij projekt przygotowania do wygasania certyfikatów (już teraz)
    • Zidentyfikuj flotę z włączonym Secure Boot i sprawdź, czy proces aktualizacji certyfikatów (KEK + DB) jest realizowany przez mechanizmy Microsoft-managed, czy wymaga działań IT-managed (GPO/Intune/registry – wg dokumentacji Microsoftu).
  4. Sprawdź wpływ na legacy sprzęt (Agere Soft Modem)
    • Jeśli masz niszowe urządzenia wymagające sterowników modemowych: testy regresji przed szerokim rolloutem, bo poprawka polega na usunięciu podatnych komponentów.
  5. Wzmocnij detekcję i telemetrię na czas patchowania
    • Monitoruj nietypowe ciągi zdarzeń po aktualizacjach (crashe DWM, anomalie w logowaniu, nietypowe uruchomienia procesów po otwarciu dokumentów Office w kontekście krytycznych RCE opisywanych przez vendorów).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Nietypowe w tym miesiącu jest to, iż aktywnie wykorzystywana jest podatność typu information disclosure (a nie bezpośrednie RCE). Z perspektywy ofensywnej to przez cały czas bardzo wartościowe – wycieki informacji często „domykają” exploit chain.
  • Secure Boot cert expiry to z kolei przykład ryzyka, które bardziej przypomina zarządzanie cyklem życia zaufania kryptograficznego niż klasyczne „łatamy CVE i po temacie”.

Podsumowanie / najważniejsze wnioski

  • Styczeń 2026 to duży Patch Tuesday: 114 luk i 3 zero-day, z czego CVE-2026-20805 jest aktywnie wykorzystywana.
  • Secure Boot wymaga planu – terminy wygaśnięcia certyfikatów w 2026 r. to potencjalna mina operacyjna, jeżeli organizacja tego nie uprzedzi.
  • Oprócz „patch now”, potrzebne są testy kompatybilności (Agere Soft Modem) i sensowna kolejność wdrożeń, bo w paczce są też krytyczne scenariusze RCE/EoP w Windows/Office.

Źródła / bibliografia

  1. BleepingComputer – „Microsoft January 2026 Patch Tuesday fixes 3 zero-days, 114 flaws” (BleepingComputer)
  2. CrowdStrike – „January 2026 Patch Tuesday: 114 CVEs Patched Including 3 Zero-Days” (CrowdStrike)
  3. Zero Day Initiative (Trend Micro) – „The January 2026 Security Update Review” (Zero Day Initiative)
  4. Qualys – „Microsoft and Adobe Patch Tuesday, January 2026 Security Update Review” (Qualys)
  5. Microsoft Support – „Windows Secure Boot certificate expiration and CA updates” (Microsoft Support)
Idź do oryginalnego materiału
  1. Strona główna
  2. Podatności i biuletyny
  3. Microsoft Patch Tuesday (styczeń 2026): 114 poprawek i 3 luki zero-day – jedna aktywnie wykorzystywana (CVE-2026-20805)

Powiązane

Pierwszy Patch Tuesday w 2026 roku – Microsoft łata 114 podatności w Windows, w tym atakowany zero-day

Pierwszy Patch Tuesday w 2026 roku – Microsoft łata 114 poda...

20 godzin temu
SAP Security Patch Day: styczeń 2026 — 4 krytyczne luki (SQLi/RCE/Code Injection) i co zrobić w pierwszej kolejności

SAP Security Patch Day: styczeń 2026 — 4 krytyczne luki (SQL...

1 dzień temu
Adobe łata krytyczną lukę w Apache Tika używanym przez ColdFusion (CVE-2025-66516)

Adobe łata krytyczną lukę w Apache Tika używanym przez ColdF...

1 dzień temu
Podatność w aplikacji mobilnej Crazy Bubble Tea

Podatność w aplikacji mobilnej Crazy Bubble Tea

1 dzień temu
Podatność w oprogramowaniu Ysoft SafeQ 6

Podatność w oprogramowaniu Ysoft SafeQ 6

1 dzień temu
Nowe luki w Cisco Snort 3 zagrażają inspekcji ruchu sieciowego

Nowe luki w Cisco Snort 3 zagrażają inspekcji ruchu sieciowe...

1 dzień temu
Nowa Skoda Peaq wjeżdża do Polski: Pod maską "ósmy cud świata"

Nowa Skoda Peaq wjeżdża do Polski: Pod maską "ósmy cud świat...

2 dni temu
Podatności i aktualizacje do produktów firmy PHOENIX CONTACT (P26-004)

Podatności i aktualizacje do produktów firmy PHOENIX CONTACT...

2 dni temu