У хакеров фора, у вас – только патч и бесполезная защита ASLR. Как выжить в условиях нового 0Day в Windows

Пока администраторы только ставят январские обновления Windows, одна из свежих уязвимостей уже эксплуатируется в реальных условиях. Microsoft и агентство CISA предупредили, что проблема, раскрытая вместе с очередным пакетом патчей, уже фигурирует в реальных атаках, поэтому откладывать установку исправления не стоит.

Речь о CVE-2026-20805. Ошибка позволяет авторизованному атакующему получить утечку адреса в памяти через удаленный ALPC-порт. На первый взгляд это звучит не так страшно, и по шкале CVSS уязвимость получила оценку 5.5. Но специалисты отмечают, что такие утечки часто становятся важным звеном в цепочке эксплуатации, так как, узнав адреса в памяти, атакующий может подготовить следующий шаг, например, объединить находку с другой ошибкой и приблизиться к выполнению произвольного кода.

В Trend Micro прямо указали на типичный сценарий. Полученный адрес используется на следующем этапе эксплойта, где цель уже может быть куда серьезнее, вплоть до запуска кода. Похожую мысль озвучили и в Immersive. Специалисты объяснили, что уязвимости такого рода часто помогают обходить ASLR, одну из ключевых защит операционной системы, которая усложняет атаки на переполнение буфера и другие манипуляции с памятью. Если атакующий узнает, где именно в памяти находится код, сложный и нестабильный эксплойт может превратиться в практичную и повторяемую атаку.

Почти сразу после выхода исправления CISA добавила CVE-2026-20805 в каталог Known Exploited Vulnerabilities. Это означает, что федеральным ведомствам США предписано закрыть дыру в установленные сроки, крайний срок обозначен как 3 февраля. Агентство отдельно подчеркнуло, что подобные уязвимости регулярно используются злоумышленниками и несут существенные риски для государственных инфраструктур.

Кто именно эксплуатирует дыру и насколько широко, пока неизвестно. Microsoft не уточнила детали атак, а значит, защитникам нужно применять исправления как можно быстрее.