Microsoft v utorok (13.1.2026) vydal svoju prvú bezpečnostnú aktualizáciu pre rok 2026, ktorá rieši 114 bezpečnostných chýb, vrátane jednej zraniteľnosti, o ktorej uviedol, že je aktívne zneužívaná v reálnych útokoch.
Z celkového počtu 114 chýb je osem hodnotených ako kritické a 106 ako dôležité z hľadiska závažnosti. Až 58 zraniteľností bolo klasifikovaných ako eskalácia oprávnení, nasledovaných 22 chybami úniku informácií, 21 chybami umožňujúcimi vzdialené vykonanie kódu a piatimi chybami typu spoofing. Podľa údajov zozbieraných spoločnosťou Fortra ide o tretí najväčší januárový Patch Tuesday po januári 2025 a januári 2022.
Tieto opravy sú navyše k dvom bezpečnostným chybám, ktoré Microsoft opravil vo svojom prehliadači Edge od vydania decembrového Patch Tuesday 2025, vrátane chyby typu spoofing v aplikácii pre Android (CVE-2025-65046, 3.1) a prípadu nedostatočného vynucovania bezpečnostných politík v značke WebView prehliadača Chromium (CVE-2026-0628, skóre CVSS: 8.8).
Zraniteľnosť, ktorá bola zaznamenaná ako aktívne zneužívaná v reálnych útokoch, je CVE-2026-20805 (skóre CVSS: 5.5), ide o chybu úniku informácií ovplyvňujúcu Desktop Window Manager. K jej identifikácii a nahláseniu prispeli Microsoft Threat Intelligence Center (MTIC) a Microsoft Security Response Center (MSRC).
„Vystavenie citlivých informácií neoprávnenej osobe v Desktop Window Manager (DWM) umožňuje oprávnenému útočníkovi lokálne zverejniť informácie,“ uviedol Microsoft v bezpečnostnom oznámení. „Typ informácií, ktoré by mohli byť zverejnené pri úspešnom zneužití tejto zraniteľnosti, je adresa sekcie vzdialeného portu ALPC, čo je pamäť v používateľskom režime.“
V súčasnosti nie sú k dispozícii žiadne podrobnosti o tom, ako je zraniteľnosť zneužívaná, o rozsahu týchto aktivít ani o tom, kto za nimi stojí.
Kybernetická bezpečnosť
„DWM je zodpovedný za vykresľovanie všetkého, čo sa zobrazuje na obrazovke systému Windows, čo znamená, že ponúka lákavú kombináciu privilegovaného prístupu a univerzálnej dostupnosti, keďže prakticky každý proces môže potrebovať niečo zobraziť,“ uviedol vo vyhlásení Adam Barnett, hlavný softvérový inžinier spoločnosti Rapid7. „V tomto prípade zneužitie vedie k nesprávnemu zverejneniu adresy sekcie portu ALPC, čo je časť pamäte v používateľskom režime, kde komponenty systému Windows koordinujú rôzne činnosti medzi sebou.“
Microsoft už predtým riešil aktívne zneužívanú zero-day chybu v DWM v máji 2024 (CVE-2024-30051, skóre CVSS: 7.8), ktorá bola opísaná ako chyba eskalácie oprávnení zneužívaná viacerými hrozbovými aktérmi v súvislosti so šírením QakBotu a ďalších rodín malvéru. Satnam Narang, hlavný výskumný inžinier spoločnosti Tenable, označil DWM za „častého pasažiera“ Patch Tuesday, keďže od roku 2022 bolo v tejto knižnici opravených 20 CVE.
Jack Bicer, riaditeľ výskumu zraniteľností v spoločnosti Action1, uviedol, že zraniteľnosť môže byť zneužitá lokálne autentifikovaným útočníkom na zverejnenie informácií, obídenie náhodného rozloženia adresného priestoru (ASLR) a ďalších ochranných mechanizmov.
„Zraniteľnosti tohto typu sa bežne používajú na oslabenie Address Space Layout Randomization (ASLR), kľúčového bezpečnostného mechanizmu operačného systému navrhnutého na ochranu pred pretečením bufferov a inými útokmi manipulujúcimi s pamäťou,“ povedal Kev Breen, senior riaditeľ výskumu kybernetických hrozieb v spoločnosti Immersive, pre The Hacker News.
„Odhalením toho, kde sa kód nachádza v pamäti, môže byť táto zraniteľnosť skombinovaná s inou chybou umožňujúcou vykonanie kódu, čím sa zložitý a nespoľahlivý exploit premení na praktický a opakovateľný útok.“
Americká Agentúra pre kybernetickú bezpečnosť a infraštruktúru (CISA) následne pridala túto chybu do svojho katalógu známych zneužívaných zraniteľností (KEV), čím nariadila federálnym civilným výkonným orgánom (FCEB), aby aplikovali najnovšie opravy do 3. februára 2026.
Ďalšia významná zraniteľnosť sa týka obídenia bezpečnostnej funkcie ovplyvňujúcej vypršanie platnosti certifikátov Secure Boot (CVE-2026-21265, skóre CVSS: 6.4), ktorá by mohla útočníkovi umožniť narušiť kľúčový bezpečnostný mechanizmus zabezpečujúci, že firmvérové moduly pochádzajú z dôveryhodného zdroja, a zabrániť spúšťaniu malvéru počas procesu štartu systému.
V novembri 2025 Microsoft oznámil, že platnosť troch certifikátov Windows Secure Boot vydaných v roku 2011 vyprší v júni 2026, pričom vyzval zákazníkov, aby prešli na ich verzie z roku 2023 –
- Microsoft Corporation KEK CA 2011 (jún 2026) → Microsoft Corporation KEK 2K CA 2023 (na podpis aktualizácií DB a DBX)
- Microsoft Windows Production PCA 2011 (október 2026) → Windows UEFI CA 2023 (na podpis zavádzača Windows)
- Microsoft UEFI CA 2011 (jún 2026) → Microsoft UEFI CA 2023 (na podpis zavádzačov tretích strán) a Microsoft Option ROM UEFI CA 2023 (na podpis option ROM modulov tretích strán)
„Certifikáty Secure Boot používané väčšinou zariadení so systémom Windows začnú vypršovať od júna 2026. To môže ovplyvniť schopnosť niektorých osobných a firemných zariadení bezpečne zavádzať systém, ak nebudú včas aktualizované,“ uviedol Microsoft. „Aby sa predišlo narušeniu prevádzky, odporúčame preštudovať si pokyny a vopred podniknúť kroky na aktualizáciu certifikátov.“
Výrobca systému Windows tiež upozornil, že najnovšia aktualizácia odstraňuje ovládače Agere Soft Modem „agrsm64.sys“ a „agrsm.sys“, ktoré boli dodávané natívne spolu s operačným systémom. Tieto ovládače tretích strán sú zraniteľné voči dvojročnej chybe lokálnej eskalácie oprávnení (CVE-2023-31096, skóre CVSS: 7.8), ktorá by mohla útočníkovi umožniť získať oprávnenia SYSTEM.
V októbri 2025 Microsoft podnikol kroky na odstránenie ďalšieho ovládača Agere Modem s názvom „ltmdm64.sys“ po jeho aktívnom zneužívaní v reálnych útokoch v súvislosti so zraniteľnosťou eskalácie oprávnení (CVE-2025-24990, skóre CVSS: 7.8), ktorá by mohla útočníkovi umožniť získať administrátorské oprávnenia.
Medzi vysoko prioritné zraniteľnosti by mala patriť aj CVE-2026-20876 (skóre CVSS: 6.7), kritická chyba eskalácie oprávnení v systéme Windows Virtualization-Based Security (VBS) Enclave, ktorá umožňuje útočníkovi získať oprávnenia Virtual Trust Level 2 (VTL2) a využiť ich na obídenie bezpečnostných kontrol, vytvorenie hlbokej perzistencie a vyhnutie sa detekcii.
„Táto chyba narúša bezpečnostnú hranicu navrhnutú na ochranu samotného systému Windows a umožňuje útočníkom preniknúť do jednej z najdôveryhodnejších vykonávacích vrstiev systému,“ uviedol Mike Walters, prezident a spoluzakladateľ spoločnosti Action1.
„Hoci zneužitie vyžaduje vysoké oprávnenia, dopad je závažný, pretože kompromituje samotnú virtualizačne založenú bezpečnosť. Útočníci, ktorí už majú v systéme oporu, by mohli túto chybu využiť na prekonanie pokročilých obranných mechanizmov, preto je rýchle aplikovanie opráv nevyhnutné na zachovanie dôvery v bezpečnostné hranice systému Windows.“
Viac informácií tu:
https://thehackernews.com/2026/01/microsoft-fixes-114-windows-flaws-in.html
https://msrc.microsoft.com/update-guide/releaseNote/2026-jan