Microsoft открыла 2026 год масштабным выпуском обновлений безопасности: в рамках первого «вторника патчей» (Patch Tuesday) компания закрыла 114 уязвимостей в продуктах Windows и Office. Среди них — три 0‑day уязвимости, одна уже используется в реальных атаках, а восемь проблем помечены как критические, так как позволяют удалённое выполнение кода или повышение привилегий.
Обновления безопасности Microsoft: масштаб и приоритеты
По официальной классификации Microsoft, исправленные уязвимости распределяются следующим образом: 57 связаны с повышением привилегий, 22 — с удалённым выполнением кода (RCE), ещё 22 приводят к утечке информации, 5 относятся к спуфингу (подмене идентичности), 3 позволяют обходить защитные механизмы и 2 связаны с отказом в обслуживании (DoS).
Такое распределение хорошо иллюстрирует современный ландшафт угроз: злоумышленники часто начинают с относительно «тихого» вектора проникновения, а затем используют уязвимости повышения привилегий и обхода защит для закрепления в системе и развития атаки, включая ransomware и целевые шпионские кампании.
0‑day CVE-2026-20805: утечка памяти в Desktop Window Manager
Наибольшее внимание экспертов привлекла активно эксплуатируемая 0‑day уязвимость CVE-2026-20805, получившая оценку 8,1 по шкале CVSS. Проблема затрагивает Desktop Window Manager (DWM) и позволяет атакующему считывать содержимое памяти, связанное с удалённым ALPC‑портом.
Эксплуатация CVE-2026-20805 не требует ни повышения привилегий, ни взаимодействия с пользователем: достаточно локального доступа к системе. По сути, речь идёт об нераспространённом, но крайне ценном для атакующих сценарии утечки конфиденциальной информации из памяти, в том числе адресов, необходимых для обхода современных защит вроде ASLR.
Роль утечек памяти в цепочках атак
Microsoft указывает, что уязвимость позволяет локальному авторизованному пользователю получить доступ к данным, которые должны оставаться недоступными. Эксперты Trend Micro Zero Day Initiative предполагают, что CVE-2026-20805 применяется в таргетированных атаках как часть сложной цепочки эксплоитов: сначала с её помощью собирается информация о структуре памяти процесса, а затем это используется для более надёжной эксплуатации RCE‑уязвимостей.
Этот пример подтверждает подход, который давно разделяет профессиональное сообщество: утечки памяти и информационные уязвимости нередко так же опасны, как «классические» баги удалённого выполнения кода, поскольку делают другие эксплойты существенно более стабильными и предсказуемыми.
CVE-2026-21265: риск обхода Secure Boot из-за стареющих сертификатов
Второй 0‑day под идентификатором CVE-2026-21265 связан не с конкретным кодом, а с инфраструктурой доверия: истечением срока действия сертификатов Windows Secure Boot, выпущенных в 2011 году. Microsoft предупреждает, что по мере приближения даты окончания действия этих сертификатов растут риски злоупотребления ими для обхода Secure Boot.
Какие сертификаты под угрозой
В группе риска находятся три ключевых сертификата: Microsoft Corporation KEK CA 2011 (истекает 24 июня 2026 года), Microsoft Corporation UEFI CA 2011 (27 июня 2026 года) и Microsoft Windows Production PCA 2011 (19 октября 2026 года). Январские обновления продлевают срок их применения или обновляют доверенную цепочку, чтобы сохранить целостность механизма Secure Boot и корректную проверку компонентов загрузки.
Для организаций, использующих централизованное управление парком устройств и собственные политики Secure Boot, критически важно своевременно внедрить эти обновления. В противном случае злоумышленники могут попытаться использовать устаревающие сертификаты для подмены загрузчиков или внедрения вредоносных модулей на ранних этапах загрузки системы.
CVE-2023-31096 и драйверы Agere Soft Modem: устранение слабого звена
Третий 0‑day — CVE-2023-31096 — затрагивает сторонние драйверы Agere Soft Modem, которые поставлялись с поддерживаемыми версиями Windows. Об этих уязвимостях Microsoft дополнительно предупреждала ещё осенью: драйверы использовались злоумышленниками для получения прав администратора на уже скомпрометированных машинах, то есть работали как надёжный инструмент эскалации привилегий.
В январском накопительном обновлении 2026 года проблемные драйверы agrsm64.sys и agrsm.sys были полностью удалены из системы. Такой шаг отражает более жёсткий подход Microsoft к экосистеме драйверов: вендор предпочитает исключить заведомо опасные компоненты, даже если это может затронуть устаревшее или редко используемое оборудование.
Как должны реагировать компании и пользователи
С учётом масштаба январского Patch Tuesday и наличия активно эксплуатируемых 0‑day уязвимостей, приоритизация этого пакета обновлений должна быть максимально высокой. Организациям рекомендуется в кратчайшие сроки:
- развернуть январские обновления безопасности Microsoft в тестовой среде и затем поэтапно на продуктивных системах;
- обратить особое внимание на системы, имеющие доступ к чувствительным данным и критичным бизнес-процессам;
- пересмотреть политику управления драйверами, исключая устаревшие и неподдерживаемые модули;
- убедиться в актуальности конфигураций Secure Boot и наличии всех свежих обновлений прошивки и ОС.
Домашним пользователям также не следует откладывать установку патчей: уязвимости, подобные CVE-2026-20805, часто становятся основой для наборов эксплойтов, распространяемых через фишинговые письма, вредоносные документы и скомпрометированные сайты. Регулярное обновление Windows и Office, отказ от нелицензионного ПО, использование встроенных и сторонних средств защиты существенно снижают риск успешной атаки.
Январский Patch Tuesday 2026 года наглядно показывает, что внимание к «некритичным» на первый взгляд багам — утечкам памяти, проблемам сертификатов, старым драйверам — не менее важно, чем к громким RCE‑уязвимостям. Чем сложнее становится инфраструктура, тем больше значение имеет системный подход к управлению обновлениями и киберрисками: от инвентаризации активов и контроля драйверов до регулярного мониторинга бюллетеней безопасности и оперативного развёртывания патчей.
