Во вторник, 14 января 2026 года, компания Microsoft представила первое в году масштабное обновление безопасности. Патч закрывает 114 уязвимостей, среди которых — одна активно эксплуатируемая злоумышленниками в реальных условиях.
Из 114 обнаруженных брешей:
8 получили оценку Critical (критические);
106 отнесены к категории Important (важные).
По типам уязвимости распределены следующим образом:
58 — повышение привилегий (privilege escalation);
22 — раскрытие информации (information disclosure);
21 — удалённое выполнение кода (remote code execution);
5 — спуфинг (spoofing).
Согласно данным компании Fortra, это третье по масштабу январское обновление за всю историю (после января 2025 и января 2022 годов).
Особого внимания заслуживает уязвимость CVE‑2026‑20805 (оценка CVSS: 5,5). Это брешь в компоненте Desktop Window Manager (DWM), позволяющая злоумышленнику локально раскрывать конфиденциальную информацию.
В официальном уведомлении Microsoft указано:
«Раскрытие чувствительных данных неавторизованному субъекту в Desktop Windows Manager (DWM) позволяет атакующему получить доступ к информации локально. В случае успешной эксплуатации уязвимости может быть раскрыт адрес секции из удалённого порта ALPC — области памяти пользовательского режима».
На данный момент нет данных о:
способах эксплуатации уязвимости;
масштабах атак;
лицах или группах, стоящих за атаками.
Почему DWM — привлекательная цель?
По словам Адама Барнетта (Adam Barnett), ведущего инженера‑программиста компании Rapid7, DWM отвечает за отрисовку всего содержимого на экране Windows. Это даёт комбинацию привилегированного доступа и универсальной доступности, поскольку почти любой процесс может нуждаться в отображении данных.
Microsoft уже сталкивалась с активно эксплуатируемыми уязвимостями в DWM. В мае 2024 года была закрыта брешь CVE‑2024‑30051 (CVSS: 7,8) — повышение привилегий, использовавшееся злоумышленниками для распространения вредоносного ПО (в т. ч. QakBot).
Сатнам Наранг (Satnam Narang), старший инженер‑исследователь компании Tenable, назвал DWM «частым гостем» в обновлениях Patch Tuesday: с 2022 года было закрыто 20 уязвимостей (CVE) в этой библиотеке.
Джек Бисер (Jack Bicer), директор по исследованию уязвимостей в Action1, отметил, что брешь может быть использована аутентифицированным локальным злоумышленником для:
раскрытия информации;
обхода рандомизации расположения адресного пространства (ASLR);
преодоления других механизмов защиты.
Кев Брин (Kev Breen), старший директор по исследованию киберугроз в Immersive, пояснил:
«Уязвимости такого рода часто используются для обхода ASLR — ключевого механизма защиты операционной системы, предназначенного для предотвращения переполнения буфера и других атак, связанных с манипуляцией памятью. Раскрывая расположение кода в памяти, эта уязвимость может быть объединена с отдельной брешью для выполнения кода, превращая сложную и ненадёжную атаку в практическую и повторяемую».
Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило уязвимость CVE‑2026‑20805 в каталог Known Exploited Vulnerabilities (KEV). Федеральным агентствам (FCEB) предписано установить обновления до 3 февраля 2026 года.
CVE‑2026‑21265 (CVSS: 6,4) — обход механизма безопасности в Secure Boot Certificate Expiration. Уязвимость позволяет злоумышленнику подорвать ключевой механизм защиты, гарантирующий, что модули прошивки поступают из доверенного источника. Это может привести к запуску вредоносного ПО в процессе загрузки.
CVE‑2026‑20876 (CVSS: 6,7) — критическая уязвимость в Windows Virtualization‑Based Security (VBS) Enclave. Позволяет атакующему получить привилегии Virtual Trust Level 2 (VTL2) и обойти защитные механизмы, обеспечив глубокое закрепление в системе.
«Это нарушает границу безопасности, предназначенную для защиты самой Windows, позволяя злоумышленникам проникнуть в один из самых доверенных уровней выполнения системы», — отметил Майк Уолтерс (Mike Walters), президент и соучредитель Action1.
В ноябре 2025 года Microsoft объявила о прекращении действия трёх сертификатов Secure Boot, выпущенных в 2011 году (срок истечения — июнь 2026 года). Компания рекомендует обновить их до версий 2023 года:
Microsoft Corporation KEK CA 2011 → Microsoft Corporation KEK 2K CA 2023 (для подписи обновлений DB и DBX);
Microsoft Windows Production PCA 2 Newton 2011 → Windows UEFI CA 2023 (для подписи загрузчика Windows);
Microsoft UEFI CA 2011 → Microsoft UEFI CA 2023 (для подписи сторонних загрузчиков) и Microsoft Option ROM UEFI CA 2023 (для подписи сторонних Option ROM).
«Сертификаты Secure Boot, используемые большинством устройств Windows, начнут истекать с июня 2026 года. Это может повлиять на возможность безопасной загрузки определённых персональных и корпоративных устройств, если обновление не будет выполнено вовремя», — предупредила Microsoft.
В обновлении также удалены драйверы agrsm64.sys и agrsm.sys, поставлявшиеся вместе с ОС. Они уязвимы к бреши CVE‑2023‑31096 (CVSS: 7,8), позволяющей злоумышленнику получить права SYSTEM.
В октябре 2025 года Microsoft удалила драйвер ltmdm64.sys из‑за эксплуатации уязвимости CVE‑2025‑24990 (CVSS: 7,8), дающей возможность получения административных привилегий.
Помимо Microsoft, в начале января 2026 года обновления выпустили:
ABB, Adobe, Amazon Web Services, AMD, Arm, ASUS, Broadcom (включая VMware), Cisco, ConnectWise, Dassault Systèmes, D‑Link, Dell, Devolutions, Drupal, Elastic, F5, Fortinet, Fortra, Foxit Software, FUJIFILM, Gigabyte, GitLab, Google (Android, Pixel, Chrome, Cloud), Grafana, Hikvision, HP, HP Enterprise (включая Aruba Networking и Juniper Networks), IBM, Imagination Technologies, Lenovo, дистрибутивы Linux (AlmaLinux, Alpine Linux, Amazon Linux, Arch Linux, Debian, Gentoo, Oracle Linux, Mageia, Red Hat, Rocky Linux, SUSE, Ubuntu), MediaTek, Mitel, Mitsubishi Electric, MongoDB, Moxa, Mozilla (Firefox, Firefox ESR), n8n, NETGEAR, Node.js, NVIDIA, ownCloud, QNAP, Qualcomm, Ricoh, Samsung, SAP, Schneider Electric, ServiceNow, Siemens, SolarWinds, SonicWall, Sophos, Spring Framework, Synology, TP‑Link, Trend Micro, Veeam.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
В период конца 2025 – начала 2 Newton 2026 года исследователи кибербезопасности зафиксировали новую кампанию злоумышленников, приписываемую китайской хакерской группировке UAT‑8099. Цель атаки — уязвимые серверы Internet Information Services (IIS) в азиатском регионе, особенно в Таиланде и Вьетнаме.
Мессенджер WhatsApp (принадлежит компании Meta) давно закрепился в топе коммуникационных сервисов: ежемесячная аудитория превышает 3 млрд пользователей. Такая масштабная база делает платформу лакомой целью для киберпреступников — не столько ради перехвата переписки, сколько для сбора разведданных перед атаками.
Визуальная языковая модель Alice AI VLM, созданная специалистами компании «Яндекс», достигла выдающихся успехов в международном сравнении инструментов обработки визуальной информации. Эта модель уверенно заняла вторую позицию в специализированном российском бенчмарке MWS Vision Bench, продемонстрировав превосходство над такими крупными международными проектами, как Gemini 2.5 Flash от Google, GPT-4.1 mini от OpenAI и Claude 4.5 Sonnet от Anthropic.