文章总结： 微软修复遭野外利用的DWM0Day漏洞CVE-2026-20805，低权限攻击者可借此泄露内存地址辅助提权。旧版Windows受影响严重，建议立即部署KB补丁并限制低权限账户以防风险。 综合评分： 83 文章分类： 漏洞预警,安全大事件,终端安全,应急响应,漏洞分析

【安全圈】微软桌面窗口管理器0Day漏洞遭野外利用

安全圈

2026年1月14日 19:00 江苏

关键词

漏洞

微软在2026年1月13日的”补丁星期二”更新中修复了其桌面窗口管理器（DWM）中的一个关键0Day信息泄露漏洞，此前已监测到该漏洞在野外遭到主动利用。

该漏洞编号为CVE-2026-20805，允许低权限本地攻击者通过远程ALPC端口暴露敏感的用户模式内存（特别是段地址）。在实际攻击中，这可能有助于构建进一步的权限提升攻击链，促使微软紧急为旧版Windows系统部署补丁。

该漏洞被评为”重要”严重等级，CVSS v3.1基础得分为5.5（AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N）。虽然无法远程利用，但其低复杂度且无需用户交互的特点，使其成为恶意软件或入侵后操作的主要目标。

微软威胁情报中心（MSTIC）和安全响应中心（MSRC）确认了漏洞利用行为，但指出目前尚未出现公开的PoC。

攻击者利用DWM（负责窗口渲染的核心合成引擎）来泄露内存地址。这种泄露可能暴露内核指针或进程数据，有助于绕过ASLR等缓解措施。微软通过协调披露机制感谢内部团队发现该漏洞。

受影响平台及补丁

该漏洞影响仍处于扩展支持阶段的旧版Windows系统。由于微软将这些更新标记为”必需”，管理员必须优先部署。

| 平台 | KB文章 | 内部版本号 | 下载链接 | | — | — | — | — | | Windows 10 v1809 (x64/32位) | KB5073723 | 10.0.17763.8276 | 目录 | | Windows Server 2012 R2 (核心/完整) | KB5073696 | 6.3.9600.22968 | 目录 | | Windows Server 2012 (核心/完整) | KB5073698 | 6.2.9200.25868 | 目录 | | Windows Server 2016 (核心/完整) | KB5073722 | 10.0.14393.8783 | 目录 |

请查阅MSRC更新获取完整生命周期详情。在此期间，建议限制本地低权限账户并通过EDR工具监控DWM进程。

这轮补丁更新突显了在本地权限提升技术日益盛行的情况下，旧版DWM组件面临的持续风险。使用不受支持版本的组织面临更高的暴露风险。

END

阅读推荐

【安全圈】河南省考报名系统高峰时段崩溃

【安全圈】知名黑客论坛数据库泄露！逾32万名用户数据被公开

【安全圈】Telegram 暴露用户真实IP地址，可一键绕过 Android 和 iOS 代理

【安全圈】GoBruteforcer 僵尸网络利用弱凭证攻击加密货币项目数据库

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】微软桌面窗口管理器0Day漏洞遭野外利用》