Microsoft випустила найбільший за останні чотири роки січневий пакет оновлень безпеки Patch Tuesday, усунувши 113 вразливостей у Windows, Office та супутніх компонентах. Серед них — одна zero-day вразливість, яка вже активно експлуатується в атаках, а також вісім критичних дефектів, що дозволяють віддалене виконання коду або підвищення привілеїв.
Zero-day вразливість має ідентифікатор CVE-2026-20805 і стосується Desktop Window Manager (DWM). Вона дає можливість зловмисникам витікати адреси памʼяті через віддалений ALPC-порт. Хоча уразливості типу information disclosure рідше використовують напряму для атак, фахівці зазначають, що вони часто є частиною складних багатокрокових експлойтів.
«Доволі нетипово бачити, що уразливість витоку інформації активно експлуатується, але саме це і відбувається зараз», — зазначив Дастін Чайлдс із Zero Day Initiative.
За його словами, зловмисники, ймовірно, використовують витік адрес памʼяті як підготовчий етап для подальшого виконання довільного коду.
Microsoft не розкрила деталей щодо масштабів атак, однак експерти припускають, що вони наразі обмежені.
Окрему увагу фахівці з безпеки радять звернути на ще одну вразливість — CVE-2026-21265, повʼязану із закінченням терміну дії сертифікатів Secure Boot. Якщо організації не підготуються до оновлення до червня 2026 року, це може призвести до серйозних збоїв у роботі систем.
«Після завершення терміну дії сертифікатів Secure Boot організації можуть зіткнутися не лише з відмовою Secure Boot, а й з проблемами запуску Windows та новими векторами атак», — пояснив Тайлер Рег’юлі, директор із безпекових досліджень Fortra.
Microsoft ще у червні 2025 року опублікувала окремі рекомендації та плейбук для ІТ-фахівців, однак часу на підготовку залишається дедалі менше.
Критичні вразливості у Windows та Office
Окрім zero-day, Microsoft класифікувала вісім уразливостей як критичні. Дві з них — CVE-2026-20952 та CVE-2026-20953 — стосуються Microsoft Office і можуть бути експлуатовані через Preview Pane в Outlook. Уразливості дозволяють виконання коду без будь-яких дій з боку користувача та мають оцінку CVSS 8.4.
«Ці уразливості дозволяють перетворити звичайний офісний контент на інструмент атаки — без жодного кліку», — прокоментував Джек Байсер, директор із дослідження вразливостей Action1.
Серед найбільш небезпечних дефектів також — CVE-2026-20854 у Windows Local Security Authority Subsystem Service (LSASS). Успішна експлуатація цієї вразливості може призвести до викрадення облікових даних, бокового переміщення мережею та компрометації домену.
Ще дві критичні вразливості підвищення привілеїв зачіпають Windows Graphics Component (CVE-2026-20822) та Windows Virtualization-Based Security Enclave (CVE-2026-20876), потенційно дозволяючи зловмисникам отримати SYSTEM-рівень доступу.
Також у межах Patch Tuesday були виправлені критичні уразливості в Excel і Word.
Січневий Patch Tuesday вибивається з тренду
Пакет із 113 виправлень став третім за масштабом січневим Patch Tuesday з моменту впровадження Microsoft нової системи безпекових бюлетенів у 2017 році. Більше вразливостей у січні компанія виправляла лише у 2025 році (162 CVE) та у 2022-му (127 CVE).
Microsoft повністю видаляє застарілий драйвер Windows Agere Soft Modem, уразливість у якому (CVE-2023-31096) існувала понад три роки. Драйвер був знятий з підтримки ще у 2016 році, і компанія вирішила не виправляти його, а прибрати з систем.
Оновлення вже доступні через Windows Update, WSUS та Microsoft Update Catalog.
Читайте також на ProIT, що Microsoft розширює Defender XDR та Incident Response сервісами на базі ШІ.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
