Січневий Patch Tuesday 2026 від Microsoft став одним із найпомітніших за останні роки: компанія усунула 114 уразливостей у Windows, Office та пов’язаних компонентах. У пакет увійшли три 0‑day уразливості, одна з яких уже активно експлуатується в атаках, а також вісім критичних проблем, що дозволяють віддалене виконання коду (RCE) або підвищення привілеїв.
Масштаб січневих оновлень безпеки Microsoft
За класифікацією самої Microsoft, із 114 закритих проблем 57 стосуються підвищення привілеїв, 22 — віддаленого виконання коду, ще 22 призводять до витоку інформації, 5 пов’язані зі спуфінгом (підміною ідентичності), 3 дозволяють обходити захисні механізми, а 2 можуть викликати відмову в обслуговуванні (DoS).
Таке співвідношення підтверджує тенденцію, яку відзначають у галузевих звітах: ланцюжки атак дедалі частіше будуються навколо ескалації привілеїв та обходу захисту, а не лише навколо «гучних» RCE. Зловмисники спершу отримують обмежений доступ (часто через фішинг чи вразливі додатки), а вже потім використовують локальні баги для закріплення в мережі, розгортання ransomware чи шпионських інструментів.
0‑day CVE-2026-20805: витік пам’яті в Desktop Window Manager
Найбільший інтерес викликає 0‑day CVE-2026-20805 у компоненті Desktop Window Manager (DWM), що вже застосовується у реальних атаках. Вразливість отримала оцінку 8,1 за CVSS і дає змогу локальному користувачу зчитувати вміст пам’яті, пов’язаний із віддаленим ALPC‑портом.
Експлуатація CVE-2026-20805 не потребує підвищених привілеїв чи дій користувача — достатньо виконання коду на уразливій машині. Фактично йдеться про контрольований витік конфіденційних даних із пам’яті, зокрема адрес, які можуть бути використані для обходу захисних технологій на кшталт ASLR (Address Space Layout Randomization).
Роль витоків пам’яті в ланцюжках експлойтів
За оцінкою Microsoft, уразливість дозволяє авторизованому локальному користувачу отримати доступ до даних, що за нормальних умов повинні залишатися недосяжними. Дослідники з Trend Micro Zero Day Initiative припускають, що CVE-2026-20805 є лише однією ланкою складних цільових атак: спочатку зловмисники розкривають структуру пам’яті процесу, а потім використовують ці знання для більш стабільної експлуатації інших RCE‑уразливостей.
Цей кейс підкреслює важливу тенденцію: інформаційні уразливості та витоки пам’яті часто настільки ж небезпечні, як і прямі RCE. Вони не завжди дають миттєвий контроль над системою, але роблять інші експлойти набагато надійнішими, знижуючи ймовірність збоїв і виявлення захисними засобами.
CVE-2026-21265: загроза для Secure Boot через старі сертифікати
Друга 0‑day, CVE-2026-21265, стосується не конкретного модуля Windows, а інфраструктури довіри Secure Boot. Під удар потрапили сертифікати, випущені ще у 2011 році: Microsoft Corporation KEK CA 2011 (закінчується 24 червня 2026), Microsoft Corporation UEFI CA 2011 (27 червня 2026) та Microsoft Windows Production PCA 2011 (19 жовтня 2026).
За відсутності оновлень наближення терміну дії цих сертифікатів створює вікно можливостей для зловмисників. Потенційно їх можна було б використати для обходу механізмів Secure Boot, підміни завантажувачів або впровадження шкідливих модулів ще на етапі старту операційної системи. Січневі патчі оновлюють ланцюжок довіри й подовжують коректну роботу перевірок, зберігаючи цілісність середовища завантаження.
Для організацій, які застосовують власні політики Secure Boot та керують парком пристроїв централізовано, своєчасне встановлення цих оновлень є критично важливим елементом захисту від bootkit‑та атак на прошивку.
CVE-2023-31096: видалення небезпечних драйверів Agere Soft Modem
Третя 0‑day — CVE-2023-31096 — пов’язана зі сторонніми драйверами Agere Soft Modem, які раніше постачалися з підтримуваними версіями Windows. Про їхнє зловживання кіберзлочинцями Microsoft попереджала ще восени: вразливі драйвери застосовувалися як інструмент ескалації привілеїв до рівня адміністратора на вже скомпрометованих системах.
У січневому накопичувальному оновленні 2026 року драйвери agrsm64.sys та agrsm.sys повністю видалені з системи. Такий крок демонструє більш жорсткий підхід Microsoft до екосистеми драйверів: потенційно небезпечні або застарілі компоненти видаляються навіть ціною втрати підтримки деякого старого обладнання, що знижує площу атаки на рівні ядра ОС.
Як мають реагувати компанії та домашні користувачі
З огляду на обсяг виправлень і наявність активно експлуатованих 0‑day, січневий Patch Tuesday 2026 слід віднести до оновлень найвищого пріоритету. Організаціям варто якнайшвидше:
- розгорнути оновлення безпеки у тестовому середовищі, а після перевірки — поетапно на продуктивних системах;
- спочатку оновити сервери та робочі станції, що обробляють критичні бізнес-процеси та конфіденційні дані;
- провести інвентаризацію драйверів, видаляючи застарілі й непідтримувані модулі, особливо з правами ядра;
- перевірити конфігурації Secure Boot, стан прошивок UEFI та переконатися, що всі свіжі патчі ОС застосовано.
Домашнім користувачам рекомендується не відкладати встановлення оновлень Windows і Office, увімкнути автоматичне оновлення, відмовитися від неліцензійного ПЗ та використовувати вбудовані або сторонні засоби захисту. Уразливості на кшталт CVE-2026-20805 часто інтегруються в набори експлойтів, що поширюються через фішингові листи, шкідливі документи чи скомпрометовані сайти.
Січневий випуск оновлень Microsoft ще раз підкреслює: витоки пам’яті, проблеми із сертифікатами й небезпечні драйвери можуть бути не менш критичними, ніж прямі RCE‑баги. Надійна кібербезпека сьогодні базується на системному підході до керування оновленнями та ризиками — від регулярного моніторингу бюлетенів безпеки й інвентаризації активів до оперативного розгортання патчів і контролю цілісності платформи завантаження. Чим раніше такі процеси стануть невід’ємною частиною ІТ‑управління, тим нижчим буде ризик успішних атак на інфраструктуру.
