CVE-2026-20805

Microsoft Windows

ВЕРОЯТНОСТЬ 3.2%
Дата обнаружения

2026-01-13

Официальное описание

Microsoft Windows Desktop Windows Manager contains an information disclosure vulnerability that allows an authorized attacker to disclose information locally.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2026-20805 затрагивает компонент Microsoft Windows Desktop Window Manager (DWM), который отвечает за отрисовку графического интерфейса пользователя (GUI), визуальные эффекты и композицию окон.

Суть проблемы заключается в следующем: * Локальный авторизованный злоумышленник может эксплуатировать недостаток обработки данных в процессе dwm.exe. * Успешная эксплуатация приводит к раскрытию информации (Information Disclosure). * Злоумышленник получает возможность читать содержимое памяти системы. * Хотя сама по себе уязвимость не дает повышения привилегий, полученные данные (например, адреса памяти, токены или указатели) могут быть использованы для обхода механизмов защиты (таких как ASLR) и подготовки к атаке типа Local Privilege Escalation (LPE).

Как исправить

Единственным надежным способом устранения уязвимости в компоненте DWM является установка официального обновления безопасности от Microsoft.

Выполните следующие шаги: 1. Определите номер KB (Knowledge Base), выпущенный Microsoft для вашей версии ОС в рамках Patch Tuesday, закрывающий CVE-2026-20805. 2. Синхронизируйте ваши системы управления обновлениями (WSUS, SCCM, Intune) с каталогом Microsoft. 3. Установите обновления на уязвимые рабочие станции и серверы. 4. Перезагрузите систему для применения изменений в ядре и системных процессах.

Для ручного поиска и установки обновлений через консоль можно использовать модуль PSWindowsUpdate:

Install-Module -Name PSWindowsUpdate -Force -SkipPublisherCheck


Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Для проверки успешной установки конкретного патча (замените KBXXXXXXX на актуальный номер):

Get-HotFix -Id KBXXXXXXX

Временные меры

Поскольку Desktop Window Manager (dwm.exe) является критически важным системным компонентом в современных версиях Windows, его невозможно отключить без нарушения работоспособности операционной системы. До установки патча необходимо применять компенсирующие меры:

  • Ограничьте локальный доступ к критически важным системам (принцип наименьших привилегий), так как для эксплуатации требуется локальная авторизация.
  • Запретите использование общих учетных записей и гостевых входов.
  • Настройте строгий мониторинг событий Application Error (Event ID 1000), связанных с падением процесса dwm.exe, так как неудачные попытки эксплуатации часто приводят к сбою процесса.
  • Внедрите правила EDR/SIEM для отслеживания аномальной активности, исходящей от процесса dwm.exe (например, попытки чтения памяти других процессов или создание подозрительных дочерних процессов).

Команда для поиска недавних сбоев DWM в журналах событий, которые могут свидетельствовать о попытках эксплуатации:

Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName='Application Error'; Id=1000} | Where-Object {$_.Message -match 'dwm.exe'}
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей