Корпорация «Майкрософт» и правительство США предупредили, что обнаруженная сегодня уязвимость в Windows уже активно используется злоумышленниками.
Эта брешь, отслеживаемая как CVE-2026-20805 и выявленная собственной командой Microsoft по анализу угроз, позволяет авторизованному атакующему раскрыть адрес памяти из удаленного порта ALPC.
«Предположительно, злоумышленники затем используют этот адрес на следующем этапе своей цепочки эксплойтов — вероятно, для достижения произвольного выполнения кода», — говорится в анализе Дастина Чайлдса, руководителя отдела осведомленности об угрозах в Zero Day Initiative от Trend Micro.
Это уязвимость средней степени критичности, получившая рейтинг CVSS 5.5.
Вскоре после того, как Редмонд выпустила исправление, Агентство по кибербезопасности и защите инфраструктуры США добавило CVE-2026-20805 в свой каталог известных использованных уязвимостей. Этот шаг означает, что федеральные ведомства обязаны применить исправление до 3 февраля. «Этот тип уязвимости является частым вектором атак для злонамеренных киберсубъектов и представляет значительные риски для федеральных систем», — предупредили в ведомстве.
Хотя нам неизвестно, кто именно использует эту лазейку и насколько широко распространена эксплуатация, «Майкрософт» отказалась отвечать на наши вопросы по этому поводу, поэтому мы настоятельно рекомендуем поставить это исправление на первое место в списке приоритетов.
«Уязвимости такого рода часто используются для подрыва рандомизации компоновки адресного пространства (ASLR) — основного механизма безопасности операционной системы, предназначенного для защиты от переполнения буфера и других эксплойтов, связанных с манипуляцией памятью», — сообщил The Register Кев Брин, старший директор по исследованиям киберугроз в Immersive.
«Раскрывая местоположение кода в памяти, эта уязвимость может быть объединена с отдельной уязвимостью для выполнения кода, превращая сложный и ненадежный эксплойт в практическую и повторяемую атаку», — добавил он, одновременно упрекая Редмонд в том, что компания не раскрыла, какие еще компоненты могут быть задействованы в такой цепочке эксплойтов.
По словам Брина, это упущение «существенно» ограничивает «возможности сетевых защитников по упреждающему поиску связанной активности. В результате быстрое исправление на данный момент остается единственной эффективной мерой противодействия».
Две общеизвестные ошибки
CVE-2026-20805, по всей видимости, является первой уязвимостью нулевого дня от «Майкрософт» в 2026 году, обнаруженной в первый «Вторник исправлений» нового года. При этом пакет обновлений оказался весьма объемным: было раскрыто 112 уязвимостей CVE от «Майкрософт».
Из них Microsoft пометила еще две как общеизвестные на момент выпуска.
Одна из них, CVE-2026-21265, представляет собой уязвимость обхода функции безопасности, связанную с истечением срока действия сертификата безопасной загрузки (Secure Boot), с рейтингом CVSS 6.4. Она указана как общеизвестная, поскольку Microsoft опубликовала это уведомление об истечении срока действия сертификата еще в июне 2025 года.
Срок действия некоторых оригинальных сертификатов, выданных в 2011 году, скоро истекает, и операторам устройств, использующих эти сертификаты, необходимо обновить их, иначе они лишатся защиты Secure Boot и обновлений безопасности операционной системы. Как отметил Чайлдс, «хотя маловероятно, что это будет использовано, эта ошибка может доставить администраторам немало хлопот».
Вторая общеизвестная уязвимость, CVE-2023-31096, — это ошибка повышения привилегий с рейтингом 7.8 в сторонних драйверах модема Agere, которые поставляются с поддерживаемыми версиями Windows. Это CVE не от Microsoft, связанное с уязвимостью, впервые задокументированной в 2023 году (CVE-2023-31096) и опубликованной MITRE.
Во время марафона исправлений в октябре Microsoft предупреждала, что эта дыра в безопасности драйвера модема Agere была предана огласке, но еще не эксплуатировалась, и сообщала, что она будет устранена в будущем обновлении. Будущее наступило: драйверы были удалены с январским обновлением.
Чайлдс также обращает внимание на пару других интересных ошибок: CVE-2026-20952 (CVSS 7.7) и CVE-2026-20953 (CVSS 7.4). Обе представляют собой уязвимости типа use-after-free в Office, которые могут позволить неавторизованному злоумышленнику выполнить код локально.
«Опять месяц с векторами эксплойтов через область предварительного просмотра в ошибке Office», — написал Чайлдс. «Хотя мы до сих пор не знаем об эксплуатации этих ошибок, они продолжают накапливаться. Это лишь вопрос времени, когда злоумышленники найдут способ использовать подобные ошибки в своих эксплойтах». ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Jessica Lyons
