Связаться с нами
Ру
Русский English
Услуги О компании Pert Блог
Ру
Русский English
MS Patch Tuesday

Анализ обновлений Microsoft Patch Tuesday – Январь 2026

Краткое Резюме

Во вторник, 13.01.2026, Microsoft выпустила ежемесячный патч безопасности, устраняющий 112 уязвимостей в своих продуктах.

По уровню опасности:

  • Remote Code Execution - 22;
  • Elevation of Privilege - 55;
  • Tampering - 3;
  • Information Disclosure - 22;
  • Security Feature Bypass - 3;
  • Spoofing - 5;
  • Denial of Service - 2.

Эксплуатируемые (Zero-Days) и Публично Раскрытые Уязвимости

Особое внимание следует уделить на следующие 2 уязвимости. Их исправление является наивысшим приоритетом:

  • CVE-2026-20805 (CVSS 5.5; Information Disclosure) - Desktop Window Manager Information Disclosure Vulnerability (Information Disclosure). Уязвимость в диспетчере окон рабочего стола (DWM), позволяющая авторизованному локальному злоумышленнику получить доступ к содержимому памяти пользовательского режима. Эксплуатация приводит к раскрытию адреса секции удаленного порта ALPC (Advanced Local Procedure Call).
  • CVE-2026-21265 (CVSS 6.4; Security Feature Bypass) - Secure Boot Certificate Expiration Security Feature Bypass Vulnerability (Security Feature Bypass).Уязвимость обхода защиты Secure Boot, связанная с предстоящим истечением срока действия корневых сертификатов Microsoft (KEK и DB), хранящихся в UEFI. Проблема вызвана тем, что механизм обновления этих сертификатов опирается на компоненты прошивки, которые могут работать некорректно, нарушая цепочку доверия. Успешная эксплуатация позволяет злоумышленнику с высокими привилегиями обойти процесс безопасной загрузки.

Общий обзор и тенденции

Январский Patch Tuesday 2026 знаменует собой резкий старт года: Microsoft выпустила исправления для 112 уязвимостей, что практически вдвое превышает объем обновлений декабря (57) и ноября (63). Этот выпуск задает высокий темп для специалистов по информационной безопасности. Ключевые тенденции этого месяца:

  • Атаки на графическую подсистему и процесс загрузки: В центре внимания находятся две критические уязвимости. Уязвимость в Desktop Window Manager (DWM) уже эксплуатируется злоумышленниками для чтения памяти ядра, что часто является первым этапом в цепочке эксплойтов. Параллельно с этим, публично раскрытая уязвимость Secure Boot, связанная с истечением срока действия сертификатов, ставит под угрозу фундаментальное доверие к процессу загрузки ОС, требуя внимательного обновления UEFI.
  • Доминирование повышения привилегий (EoP): Половина всех исправлений (55 из 112) приходится на уязвимости типа Elevation of Privilege. Это продолжает тренд конца 2025 года. Затронуты практически все ключевые компоненты системы: от ядра и драйверов (Common Log File System, Cloud Files) до служб управления (Windows Management Services). Это свидетельствует о том, что локальное повышение прав остается основным вектором для закрепления атакующих в системе.
  • Критические RCE в корпоративном ПО: Значительный блок обновлений (22 RCE) направлен на устранение уязвимостей удаленного выполнения кода в Microsoft SharePoint и Office. Учитывая популярность SharePoint как корпоративного хранилища данных, наличие нескольких RCE делает эти серверы приоритетной целью для атак программ-вымогателей и шпионажа.
  • Внимание к периферии и драйверам: Большое количество исправлений затрагивает драйверы вспомогательных функций (Ancillary Function Driver for WinSock), графические компоненты и службы подключенных устройств. Ошибки в этих низкоуровневых компонентах часто используются для обхода песочниц и защитных механизмов ОС.

Полный Список Уязвимостей

Ниже представлена таблица со всеми уязвимостями, исправленными в этом месяце.

CVETitleTypeCVSSSeverityЭксплуатируетсяПублично Раскрыта
CVE-2026-21265Secure Boot Certificate Expiration Security Feature Bypass VulnerabilitySecurity Feature Bypass6.4Security Feature BypassНетДа
CVE-2026-20805Desktop Window Manager Information Disclosure VulnerabilityInformation Disclosure5.5Information DisclosureДаНет
CVE-2026-20868Windows Routing and Remote Access Service (RRAS) Remote Code Execution VulnerabilityRemote Code Execution8.8Remote Code ExecutionНетНет
CVE-2026-20947Microsoft SharePoint Server Remote Code Execution VulnerabilityRemote Code Execution8.8Remote Code ExecutionНетНет
CVE-2026-20963Microsoft SharePoint Remote Code Execution VulnerabilityRemote Code Execution8.8Remote Code ExecutionНетНет
CVE-2026-20944Microsoft Word Remote Code Execution VulnerabilityRemote Code Execution8.4Remote Code ExecutionНетНет
CVE-2026-20952Microsoft Office Remote Code Execution VulnerabilityRemote Code Execution8.4Remote Code ExecutionНетНет
CVE-2026-20953Microsoft Office Remote Code Execution VulnerabilityRemote Code Execution8.4Remote Code ExecutionНетНет
CVE-2026-20856Windows Server Update Service (WSUS) Remote Code Execution VulnerabilityRemote Code Execution8.1Remote Code ExecutionНетНет
CVE-2026-20931Windows Telephony Service Elevation of Privilege VulnerabilityElevation of Privilege8.0Elevation of PrivilegeНетНет
CVE-2026-20809Windows Kernel Memory Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20810Windows Ancillary Function Driver for WinSock Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20811Win32k Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20816Windows Installer Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20817Windows Error Reporting Service Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20820Windows Common Log File System Driver Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20822Windows Graphics Component Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20826Tablet Windows User Interface (TWINUI) Subsystem Information Disclosure VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20831Windows Ancillary Function Driver for WinSock Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20832Windows Remote Procedure Call Interface Definition Language (IDL) Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20837Windows Media Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2026-20840Windows NTFS Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2026-20843Windows Routing and Remote Access Service (RRAS) Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20857Windows Cloud Files Mini Filter Driver Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20858Windows Management Services Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20859Windows Kernel-Mode Driver Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20860Windows Ancillary Function Driver for WinSock Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20861Windows Management Services Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20864Windows Connected Devices Platform Service Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20865Windows Management Services Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20866Windows Management Services Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20867Windows Management Services Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20870Windows Win32 Kernel Subsystem Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20871Desktop Windows Manager Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20873Windows Management Services Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20874Windows Management Services Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20877Windows Management Services Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20918Windows Management Services Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20920Win32k Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20922Windows NTFS Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2026-20923Windows Management Services Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20924Windows Management Services Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20938Windows Virtualization-Based Security (VBS) Enclave Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20940Windows Cloud Files Mini Filter Driver Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20941Host Process for Windows Tasks Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20946Microsoft Excel Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2026-20948Microsoft Word Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2026-20949Microsoft Excel Security Feature Bypass VulnerabilitySecurity Feature Bypass7.8Security Feature BypassНетНет
CVE-2026-20950Microsoft Excel Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2026-20951Microsoft SharePoint Server Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2026-20955Microsoft Excel Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2026-20956Microsoft Excel Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2026-20957Microsoft Excel Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2026-21224Azure Connected Machine Agent Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-20804Windows Hello Tampering VulnerabilityTampering7.7TamperingНетНет
CVE-2026-20852Windows Hello Tampering VulnerabilityTampering7.7TamperingНетНет
CVE-2026-0386Windows Deployment Services Remote Code Execution VulnerabilityRemote Code Execution7.5Remote Code ExecutionНетНет
CVE-2026-20848Windows SMB Server Elevation of Privilege VulnerabilityElevation of Privilege7.5Elevation of PrivilegeНетНет
CVE-2026-20849Windows Kerberos Elevation of Privilege VulnerabilityElevation of Privilege7.5Elevation of PrivilegeНетНет
CVE-2026-20854Windows Local Security Authority Subsystem Service (LSASS) Remote Code Execution VulnerabilityRemote Code Execution7.5Remote Code ExecutionНетНет
CVE-2026-20875Windows Local Security Authority Subsystem Service (LSASS) Denial of Service VulnerabilityDenial of Service7.5Denial of ServiceНетНет
CVE-2026-20919Windows SMB Server Elevation of Privilege VulnerabilityElevation of Privilege7.5Elevation of PrivilegeНетНет
CVE-2026-20921Windows SMB Server Elevation of Privilege VulnerabilityElevation of Privilege7.5Elevation of PrivilegeНетНет
CVE-2026-20926Windows SMB Server Elevation of Privilege VulnerabilityElevation of Privilege7.5Elevation of PrivilegeНетНет
CVE-2026-20929Windows HTTP.sys Elevation of Privilege VulnerabilityElevation of Privilege7.5Elevation of PrivilegeНетНет
CVE-2026-20934Windows SMB Server Elevation of Privilege VulnerabilityElevation of Privilege7.5Elevation of PrivilegeНетНет
CVE-2026-20965Windows Admin Center Elevation of Privilege VulnerabilityElevation of Privilege7.5Elevation of PrivilegeНетНет
CVE-2026-21226Azure Core shared client library for Python Remote Code Execution VulnerabilityRemote Code Execution7.5Remote Code ExecutionНетНет
CVE-2026-20844Windows Clipboard Server Elevation of Privilege VulnerabilityElevation of Privilege7.4Elevation of PrivilegeНетНет
CVE-2026-20853Windows WalletService Elevation of Privilege VulnerabilityElevation of Privilege7.4Elevation of PrivilegeНетНет
CVE-2026-20803Microsoft SQL Server Elevation of Privilege VulnerabilityElevation of Privilege7.2Elevation of PrivilegeНетНет
CVE-2026-20808Windows File Explorer Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2026-20814DirectX Graphics Kernel Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2026-20815Capability Access Management Service (camsvc) Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2026-20830Capability Access Management Service (camsvc) Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2026-20836DirectX Graphics Kernel Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2026-20842Microsoft DWM Core Library Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2026-20863Win32k Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2026-20869Windows Local Session Manager (LSM) Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2026-20943Microsoft Office Click-To-Run Elevation of Privilege VulnerabilityRemote Code Execution7.0Remote Code ExecutionНетНет
CVE-2026-21219Inbox COM Objects (Global Memory) Remote Code Execution VulnerabilityRemote Code Execution7.0Remote Code ExecutionНетНет
CVE-2026-21221Capability Access Management Service (camsvc) Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2026-20876Windows Virtualization-Based Security (VBS) Enclave Elevation of Privilege VulnerabilityElevation of Privilege6.7Elevation of PrivilegeНетНет
CVE-2026-20812LDAP Tampering VulnerabilityTampering6.5TamperingНетНет
CVE-2026-20847Microsoft Windows File Explorer Spoofing VulnerabilitySpoofing6.5SpoofingНетНет
CVE-2026-20872NTLM Hash Disclosure Spoofing VulnerabilitySpoofing6.5SpoofingНетНет
CVE-2026-20925NTLM Hash Disclosure Spoofing VulnerabilitySpoofing6.5SpoofingНетНет
CVE-2026-20818Windows Kernel Information Disclosure VulnerabilityInformation Disclosure6.2Information DisclosureНетНет
CVE-2026-20821Remote Procedure Call Information Disclosure VulnerabilityInformation Disclosure6.2Information DisclosureНетНет
CVE-2026-20851Capability Access Management Service (camsvc) Information Disclosure VulnerabilityInformation Disclosure6.2Information DisclosureНетНет
CVE-2026-20935Windows Virtualization-Based Security (VBS) Information Disclosure VulnerabilityInformation Disclosure6.2Information DisclosureНетНет
CVE-2026-20819Windows Virtualization-Based Security (VBS) Information Disclosure VulnerabilityInformation Disclosure5.5Information DisclosureНетНет
CVE-2026-20823Windows File Explorer Information Disclosure VulnerabilityInformation Disclosure5.5Information DisclosureНетНет
CVE-2026-20824Windows Remote Assistance Security Feature Bypass VulnerabilitySecurity Feature Bypass5.5Security Feature BypassНетНет
CVE-2026-20827Tablet Windows User Interface (TWINUI) Subsystem Information Disclosure VulnerabilityInformation Disclosure5.5Information DisclosureНетНет
CVE-2026-20829TPM Trustlet Information Disclosure VulnerabilityInformation Disclosure5.5Information DisclosureНетНет
CVE-2026-20833Windows Kerberos Information Disclosure VulnerabilityInformation Disclosure5.5Information DisclosureНетНет
CVE-2026-20835Capability Access Management Service (camsvc) Information Disclosure VulnerabilityInformation Disclosure5.5Information DisclosureНетНет
CVE-2026-20838Windows Kernel Information Disclosure VulnerabilityInformation Disclosure5.5Information DisclosureНетНет
CVE-2026-20839Windows Client-Side Caching (CSC) Service Information Disclosure VulnerabilityInformation Disclosure5.5Information DisclosureНетНет
CVE-2026-20862Windows Management Services Information Disclosure VulnerabilityInformation Disclosure5.5Information DisclosureНетНет
CVE-2026-20932Windows File Explorer Information Disclosure VulnerabilityInformation Disclosure5.5Information DisclosureНетНет
CVE-2026-20937Windows File Explorer Information Disclosure VulnerabilityInformation Disclosure5.5Information DisclosureНетНет
CVE-2026-20939Windows File Explorer Information Disclosure VulnerabilityInformation Disclosure5.5Information DisclosureНетНет
CVE-2026-20958Microsoft SharePoint Information Disclosure VulnerabilityInformation Disclosure5.4Information DisclosureНетНет
CVE-2026-20927Windows SMB Server Denial of Service VulnerabilityDenial of Service5.3Denial of ServiceНетНет
CVE-2026-20828Windows rndismp6.sys Information Disclosure VulnerabilityInformation Disclosure4.6Information DisclosureНетНет
CVE-2026-20834Windows Spoofing VulnerabilitySpoofing4.6SpoofingНетНет
CVE-2026-20959Microsoft SharePoint Server Spoofing VulnerabilitySpoofing4.6SpoofingНетНет
CVE-2026-20825Windows Hyper-V Information Disclosure VulnerabilityInformation Disclosure4.4Information DisclosureНетНет
CVE-2026-20962Dynamic Root of Trust for Measurement (DRTM) Information Disclosure VulnerabilityInformation Disclosure4.4Information DisclosureНетНет
CVE-2026-20936Windows NDIS Information Disclosure VulnerabilityInformation Disclosure4.3Information DisclosureНетНет

Ретроспективный анализ уязвимостей

  • CVE-2025-62454 — Windows Cloud Files Mini Filter Driver Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость переполнения буфера в куче (Heap-based Buffer Overflow) в драйвере cldflt.sys, который отвечает за работу с облачными файлами (например, OneDrive). Проблема возникает в функции memcpy из-за некорректной валидации размера входных данных при обработке специального управляющего кода (FSCTL 0x903bc), связанного со свойствами HSM. Успешная эксплуатация позволяет локальному злоумышленнику выполнить произвольный код в режиме ядра и повысить привилегии до уровня SYSTEM. Доступен PoC, демонстрирующий вызов аварийной остановки системы (BSOD) через манипуляции с атрибутами синхронизации файлов. Уязвимость была исправлена в декабре 2025 года.
  • CVE-2025-62470 - Windows Common Log File System Driver Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость переполнения буфера в куче (Heap-based Buffer Overflow) в драйвере CLFS.sys, позволяющая локальному злоумышленнику повысить свои привилегии до уровня SYSTEM. Ошибка возникает в функции ClfsEncodeBlock из-за недостаточной проверки полей TotalSectorCount и ValidSectorCount в структуре заголовка CLFS_LOG_BLOCK_HEADER. Доступный PoC демонстрирует возможность инициации сбоя системы (BSOD) через отправку специально сформированного IOCTL-запроса, что подтверждает некорректный доступ к памяти. Уязвимость была исправлена в декабре 2025 года.
  • CVE-2025-64669 — Windows Admin Center Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость локального повышения привилегий, обнаруженная исследователями Cymulate Research Lab. Корневая причина кроется в небезопасных правах доступа к директории C:\ProgramData\WindowsAdminCenter`, которая доступна для записи стандартным пользователям. Это позволяет злоумышленнику повысить права до уровня SYSTEM, используя подмену DLL в процессе обновления (Updater DLL Hijacking) или манипуляцию с PowerShell-скриптами при удалении расширений. Детальный технический разбор методов эксплуатации опубликован исследователями. Уязвимость была исправлена в декабре 2025 года.

Вывод

Январское обновление 2026 года является масштабным и критически важным. Резкий рост количества уязвимостей в сочетании с наличием активно эксплуатируемой уязвимости требует немедленного обновления со стороны ИТ-департаментов. Приоритет должен быть отдан установке обновлений для следующих уязвимостей:

  • Активно эксплуатируемая CVE-2026-20805 (DWM, Information Disclosure), чтобы предотвратить использование этой уязвимости в связке с другими эксплойтами.
  • Публично раскрытая CVE-2026-21265 (Secure Boot, Security Feature Bypass), так как истечение сроков сертификатов создает предсказуемое окно возможностей для злоумышленников, желающих обойти проверку загрузчика.
  • Критические RCE-уязвимости в SharePoint (CVE-2026-20947, CVE-2026-20963) и Office, представляющие максимальную угрозу для целостности корпоративных данных. Также важно обратить внимание на раздел "Ретроспективный анализ уязвимостей". Публикация PoC-эксплойтов для уязвимостей в драйверах Cloud Files и Common Log File System, а также для Windows Admin Center, исправленных в декабре, делает их тривиальными для эксплуатации. Если декабрьские обновления еще не установлены, риск компрометации системы через эти векторы становится неприемлемо высоким.
Paranoid Security Анализ обновлений Microsoft Patch Tuesday – Декабрь 2025 9 декабря
MS Patch Tuesday Анализ обновлений Microsoft Patch Tuesday – Декабрь 2025
Paranoid Security Анализ обновлений Microsoft Patch Tuesday – Ноябрь 2025 11 ноября
MS Patch Tuesday Анализ обновлений Microsoft Patch Tuesday – Ноябрь 2025
Paranoid Security Анализ обновлений Microsoft Patch Tuesday – Октябрь 2025 14 октября
MS Patch Tuesday Анализ обновлений Microsoft Patch Tuesday – Октябрь 2025