Atualização de janeiro de 2026 inclui correção crítica no Desktop Window Manager explorada em ataques direcionados, além de brecha no Secure Boot
A Microsoft lançou na terça-feira (14) sua primeira atualização de segurança de 2026, corrigindo 114 vulnerabilidades no ecossistema Windows, incluindo uma falha que já está sendo ativamente explorada por atacantes. Do total, oito vulnerabilidades foram classificadas como críticas e 106 como importantes em termos de severidade.
A vulnerabilidade sob exploração ativa é identificada como CVE-2026-20805, uma falha de divulgação de informações no Desktop Window Manager (DWM) com pontuação CVSS de 5.5. O problema permite que um invasor autorizado exponha informações sensíveis localmente, especificamente endereços de seção de uma porta ALPC remota, que corresponde a memória de modo de usuário.
Segundo a Microsoft, a falha foi descoberta pelo próprio Microsoft Threat Intelligence Center (MTIC) e Microsoft Security Response Center (MSRC), embora não tenham sido divulgados detalhes sobre a escala dos ataques ou os grupos responsáveis pela exploração. A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) adicionou a vulnerabilidade ao seu catálogo de Vulnerabilidades Conhecidas Exploradas, determinando que agências federais apliquem as correções até 3 de fevereiro de 2026.
Adam Barnett, engenheiro de software líder da Rapid7, explicou que o DWM é responsável por renderizar tudo na tela de um sistema Windows, tornando-se um alvo atraente por combinar acesso privilegiado e disponibilidade universal. A exploração pode ser usada para derrotar o Address Space Layout Randomization (ASLR) e outras defesas, permitindo transformar explorações complexas em ataques práticos e reproduzíveis quando combinada com outras falhas de execução de código.
Outra vulnerabilidade de destaque é a CVE-2026-21265, uma brecha de contorno de recursos de segurança que afeta a expiração de certificados do Secure Boot. Com pontuação CVSS de 6.4, a falha poderia permitir que invasores comprometam um mecanismo crucial que garante que módulos de firmware venham de fontes confiáveis, impedindo a execução de malware durante o processo de inicialização.
A Microsoft anunciou em novembro de 2025 que expirará três certificados Windows Secure Boot emitidos em 2011, efetivos a partir de junho de 2026, instando clientes a atualizarem para as contrapartes de 2023. A empresa alertou que certificados usados pela maioria dos dispositivos Windows começarão a expirar em junho de 2026, o que pode afetar a capacidade de inicialização segura se não forem atualizados a tempo.
A atualização também remove drivers de modem Agere Soft (“agrsm64.sys” e “agrsm.sys”) que eram enviados nativamente com o sistema operacional. Os drivers de terceiros são suscetíveis a uma falha de elevação de privilégio local de dois anos (CVE-2023-31096, CVSS 7.8) que poderia permitir a um invasor obter permissões de nível SYSTEM.
Outra correção prioritária é a CVE-2026-20876, uma falha de elevação de privilégio no Windows Virtualization-Based Security (VBS) Enclave com pontuação 6.7, que permite a um invasor obter privilégios Virtual Trust Level 2 (VTL2), comprometendo a segurança baseada em virtualização e estabelecendo persistência profunda no sistema.
Além da Microsoft, diversos outros fornecedores lançaram atualizações de segurança desde o início do mês, incluindo Adobe, AMD, Google, Cisco, Dell, HP, IBM, Lenovo, NVIDIA, entre outros.
Fonte: The Hacker News
