该漏洞主要影响那些仍处于扩展支持阶段的旧版 Windows 系统。由于微软将这些更新标记为"必需",管理员必须优先部署。
微软在2026年1月13日的"补丁星期二"更新中,修复了其桌面窗口管理器(DWM)中的一个关键零日信息泄露漏洞,此前已监测到该漏洞在野外遭到主动利用。
该漏洞编号为CVE-2026-20805,允许低权限本地攻击者通过远程ALPC端口暴露敏感的用户模式内存(特别是段地址)。在实际攻击中,这可能有助于构建进一步的权限提升攻击链,促使微软紧急为旧版Windows系统部署补丁。
该漏洞被评定为"重要"严重等级,CVSS v3.1基础得分为5.5。虽然无法远程利用,但其低复杂度且无需用户交互的特点,使其成为恶意软件或入侵后操作的主要目标。
微软威胁情报中心和安全响应中心确认了漏洞利用行为,但指出目前尚未出现公开的概念验证代码。
攻击者利用DWM(负责窗口渲染的核心合成引擎)来泄露内存地址。这种泄露可能暴露内核指针或进程数据,有助于绕过地址空间布局随机化等缓解措施。微软通过协调披露机制感谢内部团队发现该漏洞。
受影响平台及补丁
该漏洞影响仍处于扩展支持阶段的旧版 Windows 系统。由于微软将这些更新标记为"必需",管理员必须优先部署。
请查阅安全响应中心更新以获取完整生命周期详情。在此期间,建议限制本地低权限账户并通过终端检测与响应工具监控DWM进程。
此轮补丁更新凸显了在本地权限提升技术日益盛行的情况下,旧版DWM组件面临的持续风险。使用不受支持版本的组织将面临更高的暴露风险。
