Восемь критических уязвимостей и одна активно эксплуатируемая уязвимость нулевого дня стали центральными темами первого объявления Microsoft о «Вторнике исправлений» (Patch Tuesday) в 2026 году.
Большинство уязвимостей с высокими баллами затрагивают продукты Office, при этом две бреши в SharePoint получили оценку 8,8 по шкале CVSS.
«Злоупотребление SharePoint со стороны китайских APT-группировок для развертывания ToolShell против организаций в прошлом году должно служить предупреждением о том, что уязвимости, связанные с SharePoint и Office, могут быстро стать популярными среди злоумышленников», — отметил Ник Кэрролл, менеджер по реагированию на инциденты в сфере кибербезопасности в Nightwing.
Еще одна уязвимость, получившая оценку CVSS 8,8, — это CVE-2026-20868 для службы маршрутизации и удаленного доступа Windows. Это переполнение буфера в куче, которое позволяет неавторизованному злоумышленнику выполнить код по сети. Также выпущено исправление для менее критичной уязвимости в этой службе (CVE-2026-20843), позволяющей повысить привилегии.
Диспетчер окон рабочего стола (Desktop Windows Manager)
Пожалуй, уязвимость, которая должна привлечь внимание директоров по безопасности (CSO), — это CVE-2026-20805, поскольку она уже активно эксплуатируется. Общедоступный код Proof-of-Concept пока не раскрыт. Это брешь в Диспетчере окон рабочего стола (DWM), которая позволяет локально аутентифицированному злоумышленнику просматривать информацию в памяти для ослабления системной защиты, что открывает путь к более глубокому проникновению в ИТ-системы, зависящие от DWM.
Исследователи из Action1 отмечают, что для эксплуатации требуется локальный доступ с низкими привилегиями и отсутствие взаимодействия с пользователем, что делает ее реализуемой для злоумышленников, уже присутствующих в системе.
По словам Джека Бисера, директора по исследованиям уязвимостей в Action1, эта уязвимость повышает риск успешных многоэтапных атак для организаций. Утечка данных из памяти может быть использована в сочетании с другими уязвимостями для повышения привилегий или кражи данных, что потенциально приведет к более широкому компрометации системы, регуляторным рискам и потере доверия.
Если исправление невозможно применить немедленно, администраторам следует ограничить локальный доступ, внедрить политики минимальных привилегий и внимательно отслеживать системы на предмет подозрительной локальной активности.
«С точки зрения риска, эта проблема существенно повышает вероятность успеха последующих эксплойтов», — предупредил Бисер, — «и должна рассматриваться как инструмент для атак, а не как самостоятельный недостаток».
Сатнам Наранг, старший инженер-исследователь в Tenable, назвал DWM «частым гостем» на Patch Tuesday: с 2022 года в этой библиотеке было исправлено 20 CVE. Однако, по его словам, это первый случай, когда исследователи столкнулись с эксплуатацией ошибки раскрытия информации в этом компоненте в реальных условиях.
Дополнительные приоритеты
Бисер также рекомендует руководителям в этом месяце уделить первоочередное внимание быстрому установлению исправлений и снижению рисков, связанных с уязвимостями удаленного выполнения кода в службе подсистемы локальной безопасности Windows (LSASS), повышением привилегий в графическом компоненте Windows и повышением привилегий в анклаве безопасности на основе виртуализации Windows, поскольку эти уязвимости напрямую способствуют полному компрометации системы или нарушению границ доверия.
Стратегический фокус должен включать ускорение развертывания исправлений для критических и важных уязвимостей, сокращение ненужного локального доступа, усиление путей аутентификации и тщательный мониторинг аномального поведения, связанного с повышением привилегий.
«Утечку информации в Диспетчере окон рабочего стола следует устранять параллельно из-за подтвержденной эксплуатации и ее роли в обеспечении цепочечных атак», — добавил он.
Сертификаты Secure Boot
Эксперты по безопасности также обратили внимание на предупреждение Microsoft о том, что срок действия некоторых сертификатов Secure Boot, выданных в 2011 году, истечет в июне или октябре, если не будут установлены обновления, включенные в январские исправления. Подробности содержатся в CVE-2026-21265. Secure Boot предотвращает загрузку вредоносного кода в процессе запуска Windows; системы, которые не будут обновлены вовремя, могут стать уязвимыми для обхода Secure Boot.
Крис Гёттль, вице-президент по управлению продуктами в Ivanti, назвал это «бомбой замедленного действия для корпоративной безопасности, с которой ИТ-командам необходимо разобраться немедленно, прежде чем столкнуться с серьезными операционными проблемами».
Кроме того, Тайлер Регули, заместитель директора по исследованиям и разработкам в области безопасности в Fortra, отметил, что документация Microsoft по исправлениям для истекающих сертификатов представлена не на одной странице, а содержит множество ссылок, включая полное руководство по развертыванию для ИТ-специалистов. «Имея менее полугода на подготовку, пора убедиться, что среды и команды готовы к этому обновлению», — сказал он.
Более вероятные для эксплуатации
Регули также упомянул, что одним из наиболее интересных обновлений в этом месяце является исправление уязвимости повышения привилегий в драйвере модема Agere Soft Modem Driver для Windows (CVE-2023-31096). «Нечасто увидишь CVE, которому три года, но Microsoft наконец-то исправляет проблему, которая существовала довольно долго», — отметил он. Этот драйвер поставляется с Microsoft Windows, но, согласно статье об этой уязвимости, срок его службы истек еще в 2016 году. Решение этой проблемы заключается в простом удалении затронутых драйверов, agrsm64.sys и agrsm.sys, из систем.
Ник Кэрролл из Nightwing утверждает, что руководителям служб безопасности следует обратить внимание на исправление уязвимостей, которые, по мнению Microsoft, с большей вероятностью будут использованы. К ним относятся:
- некорректная обработка разрешений в Службе отчетов об ошибках Windows (Windows Error Reporting) (CVE-2026-20817), которая может позволить авторизованному злоумышленнику локально повысить привилегии;
- переполнение буфера в драйвере файловой системы журнала Windows (Windows Common Log File System Driver) (CVE-2026-20820), которое может привести к локальному повышению привилегий авторизованным злоумышленником;
- переполнение буфера, которое может привести к атакам с удаленным выполнением кода в NTFS Windows (CVE-2026-20840).
Кев Брин, старший директор по исследованиям киберугроз в Immersive, отметил, что это одна из двух проблем NTFS, выявленных в этом месяце. Он предупредил, что если технические подробности станут общедоступными, это может превратиться в уязвимость n-day, создавая узкое окно для ИТ-специалистов, чтобы применить исправления до широкого распространения эксплуатации; - проблема с драйвером вспомогательных функций Windows для WinSock, которая может позволить авторизованному злоумышленнику локально повысить привилегии (CVE-2026-20860);
- проблема с повышением привилегий в Диспетчере окон рабочего стола (CVE-2026-20871);
- уязвимость удаленного выполнения кода в NTFS Windows (CVE-2026-20922).
Обновления SAP
Отдельно SAP выпустила 19 новых или обновленных исправлений безопасности, включая шесть заметок HotNews и четыре заметки High Priority. Одной из наиболее важных является критическая уязвимость SQL-инъекции в S/4HANA Private Cloud и On-Premise (Финансы – Главная книга), с оценкой CVSS 9,9. Эксплуатация может привести к полному компрометации системы пользователями с низкими привилегиями. Кроме того, было устранено уязвимость внедрения кода с оценкой CVSS 9,1 в S/4HANA Private Cloud и On-Premise.
Oracle и Mozilla
Исследователи из Ivanti отмечают, что Mozilla выпустила три обновления для Firefox и Firefox ESR, устраняющих в общей сложности 34 CVE. Все три обновления имеют высокий рейтинг воздействия (Impact). Подозрения на эксплуатацию вызывают два CVE (CVE-2026-0891 и CVE-2026-0892). Оба устранены в Firefox 147 (MFSA2026-01), а CVE-2026-0891 устранен в Firefox ESR 140.7 (MFSA2026-03).
Наконец, исследователи из Nightwing сообщают, что администраторам Oracle следует готовиться к первому из четырех крупных дней исправлений компании в этом году, который приходится на вторник, 20 января. Предварительное объявление ожидается 15 января, что поможет организациям подготовиться к предстоящим изменениям.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
