文章总结： 微软2026年1月补丁日修复桌面窗口管理器零日漏洞CVE-2026-20805，已发现野外利用，低权本地攻击者可经ALPC端口泄露用户模式内存地址，绕过ASLR并为提权铺路，CVSS5.5，影响Win101809及Server2012/2016等旧版系统，需立即部署KB5073723等补丁并限制低权账户、EDR监控DWM进程以降低风险 综合评分： 82 文章分类： 漏洞预警,漏洞分析,终端安全,应急响应,安全运营

微软桌面窗口管理器零日漏洞已被利用

原创

网络安全9527

安全圈的那点事儿

2026年1月15日 09:01 北京

微软在 2026 年 1 月 13 日的“补丁星期二”更新中修复了其桌面窗口管理器 (DWM) 中的一个严重零日信息泄露漏洞，此前该漏洞已被检测到在实际环境中被利用。

该漏洞编号为 CVE-2026-20805，允许低权限的本地攻击者通过远程 ALPC 端口暴露敏感的用户模式内存，特别是内存段地址。这可能导致攻击者在实际攻击中进一步提升权限，因此需要紧急在旧版 Windows 系统中部署补丁。

该漏洞被评为“重要”级别，CVSS v3.1 基本得分为 5.5 (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N)。虽然目前尚无有效利用途径，但其低复杂度和无需用户交互的特点使其成为恶意软件或入侵后攻击的理想目标。

微软威胁情报中心 (MSTIC) 和安全响应中心 (MSRC) 已确认该漏洞已被利用，但指出目前还没有公开的概念验证。

攻击者利用DWM（一个负责窗口渲染的核心合成引擎）的漏洞来泄露内存地址。这种泄露可能暴露内核指针或进程数据，从而绕过ASLR等缓解措施。微软将此次泄露归功于内部团队通过协调披露所取得的成果。

受影响的平台和补丁

该漏洞会影响仍在扩展支持期内的旧版 Windows 系统。管理员必须优先进行更新，因为微软已将这些更新视为“必需”更新。

| 平台 | 知识库文章 | 建造编号 | 下载链接 | | — | — | — | — | | Windows 10 版本 1809（64 位/32 位） | https://support.microsoft.com/help/5073723 | 10.0.17763.8276 | https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5073723 | | Windows Server 2012 R2（核心/完整版） | https://support.microsoft.com/help/5073696 | 6.3.9600.22968 | https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5073696 | | Windows Server 2012（核心/完整版） | https://support.microsoft.com/help/5073698 | 6.2.9200.25868 | https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5073698 | | Windows Server 2016（核心/完整版） | https://support.microsoft.com/help/5073722 | 10.0.14393.8783 | https://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB5073722 |

请查看MSRC 更新以获取完整的生命周期详细信息。在此期间，请限制本地低权限账户，并通过 EDR 工具监控 DWM 进程。

此次补丁更新凸显了旧版 DWM 组件在本地权限提升攻击日益猖獗的情况下所面临的持续风险。使用不受支持版本的组织将面临更高的风险。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527《微软桌面窗口管理器零日漏洞已被利用》