Microsoft закрыла уязвимость Windows, которую вовсю эксплуатировали хакеры

Microsoft и американские власти предупредили, что в Windows была обнаружена уязвимость, которую активно эксплуатируют киберпреступники. Уязвимость за номером CVE-2026-20805 обнаружили эксперты по кибербезопасности в Microsoft — она открывала уже внедрившемуся в систему злоумышленнику доступ к адресам памяти через удалённый порт ALPC.

Обнаруженная уязвимость относится к средней степени серьёзности и имеет рейтинг 5,5 из 10; полученные при её эксплуатации данные хакеры могут использовать на последующих этапах в цепочке эксплойтов — не исключено, что для выполнения произвольного кода. Известно, что она действительно эксплуатируется киберпреступниками, и после её закрытия, когда Microsoft выпустила патч, Агентство по кибербезопасности и защите инфраструктуры (CISA) США добавило её в свой список, обязав тем самым федеральные ведомства установить патчи на своих машинах к 3 февраля.

Подобные уязвимости часто используются злоумышленниками для компрометации алгоритма рандомизации расположения адресного пространства (ASLR), который служит для защиты от переполнения буфера и от других эксплойтов, связанных с манипуляциями памятью. Раскрыв расположение кода в памяти, злоумышленник может объединить эту уязвимость с уязвимостью выполнения кода — в результате сложный и ненадёжный эксплойт оказывается звеном в практичной и воспроизводимой атаке, пояснили опрошенные ресурсом The Register эксперты.

Всего в очередном пакете обновлений для Windows 11 компания Microsoft закрыла 112 уязвимостей с номерами CVE. Одна из них, CVE-2026-21265, относится к функциям безопасности и связана с истечением срока действия сертификата безопасной загрузки — и имеет более высокий в сравнении с вышеупомянутой рейтинг 6,5 из 10. Маловероятно, что злоумышленники будут её эксплуатировать, считают эксперты, а вот администраторам она может доставить некоторые проблемы. Ещё одна, CVE-2023-31096 (рейтинг 7,4 из 10), открытая ещё в 2023 году, была связана с драйверами устаревших модемов — теперь эти драйверы из системы удалены. Наконец, уязвимости CVE-2026-20952 (7,7) и CVE-2026-20953 (7,4) коснулись пакета Office — их механизм связан с возможностью подмены данных, когда программа продолжает ссылаться на удалённый из памяти объект.