Microsoft Desktop Window Manager 0-Day Vulnerability Exploited in the wild
2026/01/14 CyberSecurityNews — 2026年1月13日の月例パッチで、Microsoft は Desktop Window Manager (DWM) に存在する深刻なゼロデイ情報漏洩の脆弱性を修正した。この脆弱性 CVE-2026-20805 を悪用するローカル攻撃者は、ALPC ポートを介して機密性の高いセクション・アドレスをはじめとするユーザーモード・メモリを露出させる恐れがある。この脆弱性は、すでに実環境での悪用が検知されており、さらなる権限昇格の連鎖を容易にするため、Windows システム全体に対する緊急のパッチ適用が求められている。
この脆弱性の攻撃ベクターは (AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N) であり、CVSS v3.1 の基本スコアは 5.5、深刻度 Important と評価されている。
リモートからの悪用は不可能であるが、攻撃の複雑さが低く、ユーザー操作を必要としないため、マルウェアや侵入後攻撃の主要な標的となり得る。
Microsoft Threat Intelligence Center (MSTIC) と Microsoft Security Response Center (MSRC) は、この脆弱性が実際に悪用されていることを確認している。ただし、現時点で PoC エクスプロイト・コードは公開されていないとされる。
ウィンドウ・レンダリングを処理する、中核的な合成エンジン DWM を悪用する攻撃者が、メモリ・アドレスを漏洩させる恐れがある。この漏洩により、カーネル・ポインタやプロセス・データが露出し、ASLR などの緩和策を回避しやすくなる可能性がある。
この脆弱性は、協調的な情報開示プロセスを通じて発見されたものであり、社内チームの貢献を、Microsoft は高く評価している。
影響を受けるプラットフォームと修正プログラム
この脆弱性は、延長サポートが継続されている最新の Windows だけではなく、古いバージョンの Windows にも影響する。Microsoft は、この脆弱性への対応を必須と位置付けているため、管理者は更新プログラムの適用を最優先すべきである。
| Platform | KB Article | Build Number | Download Link |
|---|---|---|---|
| Windows 10 v1809 (x64/32-bit) | KB5073723 | 10.0.17763.8276 | Catalog |
| Windows Server 2012 R2 (Core/Full) | KB5073696 | 6.3.9600.22968 | Catalog |
| Windows Server 2012 (Core/Full) | KB5073698 | 6.2.9200.25868 | Catalog |
| Windows Server 2016 (Core/Full) | KB5073722 | 10.0.14393.8783 | Catalog |
ライフサイクルの詳細については、MSRC Update を確認する必要がある。当面の緩和策としては、ローカルの低権限アカウントを制限し、EDR ツールを用いて DWM プロセスを監視することが推奨される。
今回のパッチが浮き彫りにするのは、ローカル権限昇格戦術の増加に伴い、レガシーな DWM コンポーネントに依然として残存するリスクである。サポート対象外のビルドを使用している組織は、特にリスクが高い状況にある。
今回の DWM の脆弱性は、Windows の画面表示を司る中核的な機能に潜んでいたものです。この問題の原因は、ローカル環境における特定の通信ポート (ALPC) の処理の不備にあり、本来は守られるべきメモリ上の機密情報が読み取れてしまう状態にあったことです。これにより、攻撃者はシステムの重要なアドレスを特定できるようになり、他の攻撃手法と組み合わせることで、より高い権限を奪取するための足がかりとして悪用できてしまいます。すでに実際の攻撃が確認されており、きわめて深刻な状況にあります。ご利用のチームは、ご注意ください。よろしければ、Windows での検索結果を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.