Microsoftは、脅威アクターが現実の攻撃で積極的に悪用しているDesktop Window Managerコンポーネントにおける重大な情報漏えい脆弱性を公表しました。
CVE-2026-20805として追跡され、2026年1月13日に公表されたこの欠陥により、認証済みのローカル攻撃者はユーザー操作を必要とせずにシステムメモリから機微情報を抽出できます。
この脆弱性は、OS全体で視覚効果とウィンドウ描画を管理するWindowsの基盤的なシステムサービスであるDesktop Window Managerに存在します。
この欠陥の悪用に成功すると、ローカルアクセスを持つ攻撃者は保護されたメモリ領域から機密データを読み取ることができ、認証資格情報、暗号鍵、その他システムの完全性にとって重要なセキュリティ上機微な情報が侵害される可能性があります。
この脆弱性の悪用に必要なのは低権限のローカルアクセスのみであり、管理者資格情報やユーザー操作は不要です。
この容易さにより、企業環境と一般消費者環境の双方で脅威レベルが大幅に高まります。
リモートのネットワークベースの攻撃ベクトルではなくローカルアクセスを要するという悪用の性質から、脅威アクターが高価値の標的、またはフィッシング、サプライチェーン攻撃、二次的なエクスプロイトチェーンなどの初期侵入経路によって既に侵害されている組織に焦点を当てていることが示唆されます。
別の脆弱性チェーンによって侵害されているシステム、または権限昇格攻撃に対して脆弱なままのシステムは、この公表によりリスクが一段と高まります。
セキュリティチームは、この脆弱性を単独の脅威としてではなく、永続的なアクセスを確立し機微データを持ち出すことを目的とした、より大きな攻撃チェーンの一要素として捉えるべきです。
組織は、Microsoftのセキュリティ更新プログラムが公開され次第、直ちに展開することを最優先にしなければなりません。
セキュリティオペレーションセンターは、Desktop Window Managerプロセスの異常な活動、不審なメモリアクセスパターン、無許可の資格情報使用に対する監視を強化すべきであり、これらは悪用成功の試みを示す可能性があります。
パッチが利用可能になるまでの間、可能であればシステムへのローカルアクセスを制限し、不審なメモリアクセスを監視するための追加のエンドポイント検知・対応(EDR)制御の実装を検討してください。
悪用の可能性を直ちに排除できないシステムでは、高権限アカウントの資格情報ローテーションを実施すべきです。
組織は、更新プログラムの提供状況についてMicrosoftの公式セキュリティアドバイザリを監視し、それに応じて展開スケジュールを調整すべきです。
翻訳元: https://cyberpress.org/microsoft-desktop-window-manager-zero-day-vulnerability/