U.S. CISA adds a flaw in Microsoft Windows to its Known Exploited Vulnerabilities catalog
2026/01/14 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft Windows の脆弱性 CVE-2026-20805 (CVSS:5.5) を、Known Exploited Vulnerabilities (KEV) に登録した。Microsoft の 2026年1月の Patch Tuesday では、Windows/Office/Azure/Edge/SharePoint/SQL Server/SMB/Windows 管理サービスに影響を与える 112 件の CVE がリリースされた。サードパーティ製の Chromium 修正プログラムを含めると、脆弱性の総数は 114 件となる。
Patch Tuesday で修正された脆弱性 CVE-2026-20805 は、実際の攻撃で悪用されている。他の2件のゼロデイは、リリース時点で既知の脆弱性として分類されている。
脆弱性 CVE-2026-20805 は、Windows Desktop Manager に存在し、攻撃者に対してメモリ情報の漏洩を許す可能性がある。悪意のコードが直接されるものではないが、漏洩したデータを悪用する攻撃者がセキュリティ保護を回避し、より深刻なエクスプロイトを実行する際の足掛かりを得る可能性がある。
Microsoft のアドバイザリには、「Windows Desktop Manager を介した情報漏洩の問題であり、権限のある攻撃者がローカルで情報を不正に窃取する可能性がある。この脆弱性を攻撃者が悪用した場合に漏洩する可能性のある情報の種類は、ユーザーモード・メモリであるリモート ALPC ポートのセクション・アドレスである」と説明されている。
この脆弱性が示すのは、たとえ限定的な情報漏洩であっても、システム全体の侵害において重要な役割を果たし得ることである。Microsoft は、この脆弱性を悪用した攻撃の詳細について明らかにしていない。
拘束力のある運用指令 (BOD) 22-01 によると、カタログに掲載された欠陥を悪用する攻撃からネットワークを保護するために、米連邦政府機関は期限までに対処する必要がある。CISA は、2026年2月3日までに当該脆弱性を修正するよう命じた。
セキュリティ専門家たちは民間組織に対しても、KEV カタログを確認し、インフラ内の脆弱性へ対処することを推奨している。
Windows の Desktop Window Manager (DWM) の脆弱性 CVE-2026-20805 が、CISA KEV カタログに登録されました。この脆弱性の原因は、DWM が ALPC ポートを介した通信を処理する際の、メモリ管理の不備にあります。本来は秘匿されるべきユーザーモード・メモリのアドレス情報が外部に漏れてしまうため、それを悪用する攻撃者による、ASLR (アドレス空間配置のランダム化) などのセキュリティ保護機能が無効化される恐れがあります。その結果、他の深刻な攻撃と組み合わせて、システム全体を侵害するための、極めて重要な足掛かりとして悪用されてしまいます。ご利用のチームは、ご注意ください。よろしければ、2026/01/1 の「Window DWM のゼロデイ脆弱性 CVE-2026-20805 が FIX:実環境での情報漏洩を確認」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.