2026-01-14 23:07:48 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 微软发布紧急更新修复DWM组件0-Day漏洞CVE-2026-20805，该漏洞已在野被APT利用泄露内存地址以绕过ASLR并辅助提权。主要影响Win10及Server2012/2016。建议立即部署官方补丁，限制ALPC权限，启用内核隔离与EDR监控，特别是针对汽车制造业等关键目标加强防御。 综合评分： 90 文章分类： 漏洞预警,威胁情报,应急响应

cover_image

微软紧急修复DWM组件0-Day信息泄露漏洞（CVE-2026-20805）

网安百色

2026年1月14日 19:05 广西

一、漏洞核心信息

微软于2026年1月13日发布紧急安全更新，修复了存在于桌面窗口管理器（Desktop Window Manager, DWM）的0-Day信息泄露漏洞（CVE-2026-20805）。该漏洞已在野外被攻击者实际利用，攻击者可通过此漏洞泄露用户模式内存中的敏感地址信息，为后续权限提升攻击提供关键支持。

漏洞原理

攻击者通过DWM的ALPC接口发送特制请求，泄露用户模式内存段基址（Section Base Addresses），暴露关键内存布局信息。

攻击链影响

绕过ASLR：精准获取内核对象指针，规避地址随机化防护
权限提升：结合其他漏洞（如Win32k提权）完成完整攻击链
持久化：创建内核级后门（无需用户交互，复杂度低）

三、受影响平台及补丁信息

| 平台 | KB补丁 | 构建版本 | | — | — | — | | Windows 10 v1809 (x64/32-bit) | KB5073723 | 10.0.17763.8276 | | Windows Server 2012 R2 (Core/Full) | KB5073696 | 6.3.9600.22968 | | Windows Server 2012 (Core/Full) | KB5073698 | 6.2.9200.25868 | | Windows Server 2016 (Core/Full) | KB5073722 | 10.0.14393.8783 |

四、威胁情报与防御建议

1. 在野利用确认

微软威胁情报中心（MSTIC）确认：

漏洞已被至少三个APT组织用于实际攻击
攻击目标涵盖金融、汽车制造和政府机构
攻击频率自2026年1月初呈现上升趋势

2. 缓解措施

紧急应对：

立即部署微软官方补丁
限制本地低权限账户的ALPC访问权限
通过EDR工具监控DWM.exe异常行为（如频繁内存分配/释放）

长期防御：

禁用不必要的ALPC端口
启用Windows内核隔离功能（如Hypervisor-protected Code Integrity）
部署攻击面缩减（ASR）规则阻断可疑DWM行为

3. 特别警示：汽车制造业

结合近期日产汽车等企业频繁遭遇攻击事件，建议车企：

对图形密集型设计工作站进行重点防护
审查第三方设计软件的安全更新机制
建立针对Windows图形子系统的专项监控策略

五、漏洞发现与披露

微软通过内部安全团队协调披露（Coordinated Disclosure）发现该漏洞，并归功于其威胁研究团队。目前尚无公开PoC代码，但安全厂商已捕获多个利用该漏洞的恶意样本，包括LockBit 4.0变种。

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安百色《微软紧急修复DWM组件0-Day信息泄露漏洞（CVE-2026-20805）》