文章总结： 微软修复了遭野外利用的DWM0Day漏洞CVE-2026-20805，该漏洞允许低权限攻击者泄露敏感内存绕过ASLR以辅助权限提升。其CVSS评分为5.5，主要影响旧版Windows。鉴于已有实际攻击且无公开PoC，建议管理员优先部署补丁，限制本地低权限账户并监控DWM进程。 综合评分： 75 文章分类： 漏洞分析,漏洞预警,威胁情报

微软桌面窗口管理器0Day漏洞遭野外利用

FreeBuf

2026年1月15日 18:37 上海

微软在2026年1月13日的”补丁星期二”更新中修复了其桌面窗口管理器（DWM）中的一个关键0Day信息泄露漏洞，此前已监测到该漏洞在野外遭到主动利用。

该漏洞编号为CVE-2026-20805，允许低权限本地攻击者通过远程ALPC端口暴露敏感的用户模式内存（特别是段地址）。在实际攻击中，这可能有助于构建进一步的权限提升攻击链，促使微软紧急为旧版Windows系统部署补丁。

该漏洞被评为”重要”严重等级，CVSS v3.1基础得分为5.5（AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N）。虽然无法远程利用，但其低复杂度且无需用户交互的特点，使其成为恶意软件或入侵后操作的主要目标。

微软威胁情报中心（MSTIC）和安全响应中心（MSRC）确认了漏洞利用行为，但指出目前尚未出现公开的PoC。

攻击者利用DWM（负责窗口渲染的核心合成引擎）来泄露内存地址。这种泄露可能暴露内核指针或进程数据，有助于绕过ASLR等缓解措施。微软通过协调披露机制感谢内部团队发现该漏洞。

Part01

受影响平台及补丁

该漏洞影响仍处于扩展支持阶段的旧版Windows系统。由于微软将这些更新标记为”必需”，管理员必须优先部署。

请查阅MSRC更新获取完整生命周期详情。在此期间，建议限制本地低权限账户并通过EDR工具监控DWM进程。

这轮补丁更新突显了在本地权限提升技术日益盛行的情况下，旧版DWM组件面临的持续风险。使用不受支持版本的组织面临更高的暴露风险。

参考来源：

Microsoft Desktop Window Manager 0-Day Vulnerability Exploited in the wild

Microsoft Desktop Window Manager 0-Day Vulnerability Exploited in the wild

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《微软桌面窗口管理器0Day漏洞遭野外利用》