Wczoraj Microsoft udostępnił pierwszą dużą porcję aktualizacji zabezpieczeń Patch Tuesday, w ramach której poprawiono 114 podatności w systemach Windows i powiązanych komponentach. Wśród nich znajduje się podatność zero-day aktywnie wykorzystywana przez atakujących, a także kilka błędów o najwyższym poziomie krytyczności, które mogą prowadzić do przejęcia kontroli nad systemem.
Klasyfikacja wydanych poprawek
- Łącznie poprawek: 114 podatności
- Ocenione jako krytyczne: 8
- Ocenione jako ważne: 106
- Zero-day: 3, w tym jeden aktywnie eksploatowany w świecie realnym
- Podział wg typu błędów:
- 58 błędów eskalacji uprawnień (Elevation of Privilege),
- 22 ujawniania informacji (Information Disclosure),
- 21 zdalnego wykonania kodu (Remote Code Execution),
- 5 spoofingowych.
Aktywnie wykorzystywany zero-day – CVE-2026-20805
Najgłośniejszym przypadkiem jest CVE-2026-20805 – podatność typu Information Disclosure w komponencie = Desktop Window Manager (DWM), który odpowiada za rendering pulpitu i interfejsu użytkownika w Windows.
Szczegóły podatności
- Pozwala autoryzowanemu lokalnie atakującemu ujawnić adres sekcji pamięci procesów użytkownika poprzez port ALPC.
- Ujawnia adresy pamięci i może osłabić zabezpieczenia takie jak ASLR, co ułatwia kolejne etapy ataku (np. łączenie z innym błędem umożliwiającym wykonanie kodu).
- Microsoft potwierdził, iż podatność jest już wykorzystywana w praktyce; amerykańska agencja CISA umieściła ją w katalogu znanych aktywnie nadużywanych błędów (Known Exploited Vulnerabilities).
Inne poważne podatności w tej serii
Bypass Secure Boot – CVE-2026-21265
Może umożliwić obejście mechanizmu Secure Boot, który weryfikuje podpisy modułów firmware i bootloadera, co jest najważniejsze dla odporności systemu na złośliwe oprogramowanie uruchamiane przy starcie.
Usunięcie podatnych sterowników Agere
Update usuwa również stare sterowniki modemu Agere (agrsm64.sys, agrsm.sys), które zawierały lokalną podatność eskalacji uprawnień (CVE-2023-31096) i były narażone na ataki.
Krytyczna eskalacja uprawnień – VBS Enclave (CVE-2026-20876)
Również krytyczna luka w Windows Virtualization-Based Security (VBS) Enclave, która może pozwolić na uzyskanie Virtual Trust Level 2 (VTL2) – głęboki poziom zaufania wirtualizacji, wykorzystywany do ochrony kluczowych zasobów i poświadczeń w systemie.
Rekomendacje
- Natychmiastowe wdrożenie aktualizacji na wszystkich urządzeniach Windows – szczególnie w środowiskach korporacyjnych i serwerowych.
- Priorytet dla systemów narażonych na lokalne eskalacje uprawnień i DWM – zarówno serwery, jak i stacje robocze.
- Aktualizacja certyfikatów Secure Boot przed ich wygaśnięciem w 2026 r. – w przeciwnym razie urządzenia mogą stracić możliwość bezpiecznego uruchamiania.
Podsumowanie
Aktualizacja ze stycznia 2026 to jedna z największych łatek Microsoftu w ostatnich miesiącach, z licznymi krytycznymi podatnościami i co najmniej jednym aktywnie wykorzystywanym błędem. Dla administratorów bezpieczeństwa i zespołów IT wdrożenie tych poprawek powinno być priorytetem w pierwszych tygodniach 2026 roku.
