Корпорация Microsoft официально подтвердила наличие критической уязвимости типа «раскрытие информации» в системном компоненте Desktop Window Manager (DWM, диспетчер окон рабочего стола). Данная уязвимость, получившая идентификатор CVE-2026-20805, уже активно эксплуатируется злоумышленниками в реальных атаках. Первая публичная информация о ней появилась 13 января 2026 года.
Детали уязвимости
Уязвимость представляет серьёзную угрозу, поскольку позволяет аутентифицированному локальному злоумышленнику получить несанкционированный доступ к конфиденциальным данным, хранящимся в системной памяти. Для успешной атаки не требуется взаимодействие с пользователем, а достаточно лишь наличия учётной записи с низким уровнем привилегий. Эксплуатация уязвимости может привести к утечке критически важной информации, такой как данные для аутентификации, ключи шифрования и другие чувствительные сведения.
Desktop Window Manager - это ключевой системный сервис операционных систем Windows, ответственный за управление визуальными эффектами и отрисовку окон. Именно в его коде и была обнаружена ошибка. Характер уязвимости указывает на то, что злоумышленники могут читать фрагменты памяти, принадлежащие этому процессу, что и приводит к утечке данных.
Тот факт, что для эксплуатации требуется первоначальный локальный доступ, позволяет предположить сценарий целенаправленных атак. По данным Microsoft, вероятнее всего, угроза нацелена на конкретные организации или высокоценные цели, а не на массовое заражение через интернет. Однако риски остаются крайне высокими для систем, уже скомпрометированных другими способами, например, через фишинговые атаки или вредоносное ПО. В сочетании с уязвимостями для повышения привилегий эта брешь может стать частью многоступенчатой атаки, позволяя злоумышленникам закрепиться в системе и перемещаться по сети.
Активная эксплуатация этой «уязвимости нулевого дня» подчёркивает необходимость немедленных действий по устранению риска. Компаниям и частным пользователям рекомендуется в первую очередь установить ожидаемый патч от Microsoft, выпуск которого ожидается в ближайшее время. До получения обновления специалисты по кибербезопасности рекомендуют усилить мониторинг подозрительной активности.
В частности, командам безопасности (SOC) следует обращать внимание на аномальное поведение процесса Desktop Window Manager, необычные шаблоны доступа к памяти, а также на попытки несанкционированного использования учетных данных, которые могут свидетельствовать об успешной эксплуатации CVE-2026-20805. Также крайне важно соблюдать принцип минимальных привилегий для учётных записей пользователей, чтобы снизить риски, связанные с компрометацией учётной записи с низким уровнем доступа.
Данный инцидент служит очередным напоминанием о важности своевременного обновления систем и применения комплексного подхода к безопасности, который включает не только периметровую защиту, но и постоянный мониторинг внутренней активности. Поскольку вектор атаки является локальным, традиционные средства защиты сетевого периметра, такие как межсетевые экраны или системы обнаружения вторжений (IDS), могут не обнаружить её эксплуатацию. Поэтому фокус смещается на решения для защиты конечных точек и анализ поведения.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20805
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20805
