Microsoft – styczeń 2026: krytyczne łatki, zero-day i pilne aktualizacje

Czy CVSS 5.5 może być pilniejsze niż „krytyk”? W styczniowym Patch Tuesday – jak najbardziej.

Microsoft zaczął rok od porządnego sprzątania: załatał 112-115 luk (zależnie od tego, czy liczymy poprawki dla Edge/Chromium), z czego osiem oceniono jako krytyczne. Jedna z poprawek domyka zero-day aktywnie wykorzystywany w atakach – w komponencie Desktop Window Manager (CVE-2026-20805). Do tego dochodzą groźne RCE w Office i Wordzie oraz sieciowo wyzwalane RCE w LSASS. Innymi słowy: to nie jest patch, który można „odłożyć do jutra”.

Patch Tuesday to comiesięczny rytuał, ale styczeń bywa szczególny: grudniowe „zamrożenie” wdrożeń zbiera żniwo w pierwszym miesiącu roku. Tym razem aktualizacje sięgają szeroko – Windows (11, 10 w ESU i serwery), Office (w tym Microsoft 365), a także komponenty przeglądarkowe. W praktyce: jeśli twoje środowisko ma Windows i Office, jest na liście.

Co jest najpilniejsze

Zero-day CVE-2026-20805 uderza w Desktop Window Manager – mechanizm odpowiedzialny za „układanie okien” w Windows. Formalnie to tylko wyciek informacji (CVSS 5.5, ważność „Important”), ale praktycznie to klin pod ASLR, czyli kluczową obronę przeciw przepełnieniom pamięci. Kev Breen z Immersive Labs mówi wprost: wyciek adresów w pamięci pozwala dołączyć tę lukę do łańcucha z osobnym RCE i zamienić trudny, niestabilny exploit w „powtarzalny atak”. Microsoft potwierdza aktywne wykorzystanie; CISA wciągnęła podatność na listę KEV i dała administracjom termin do 03.02.2026. Innymi słowy: łatka teraz, dyskusje później. [7][5]

Krytyczne łatki w Office i LSASS

W pakiecie jest kilka „klasyków phishingu”: dwie luki typu use-after-free w Office (CVE-2026-20952 i CVE-2026-20953), które mogą prowadzić do zdalnego wykonania kodu. W najgorszym scenariuszu wystarczy podgląd zainfekowanej wiadomości w Preview Pane – te kilka pikseli też może boleć. Word dostał własne RCE (CVE-2026-20944, out-of-bounds read) – także przez spreparowany dokument. Warto przypomnieć zespołom: Protected View to nie ozdoba interfejsu. [4]

Osobną kategorią jest LSASS (CVE-2026-20854) – komponent, który trzyma serce uwierzytelniania w Windows. Luka typu use-after-free może pozwolić autoryzowanemu napastnikowi na wykonanie kodu przez sieć, bez podnoszenia uprawnień. Microsoft ocenia prawdopodobieństwo eksploatacji jako „mniejsze”, ale LSASS to ulubiony cel operatorów ransomware – bo z niego prosta droga do kradzieży poświadczeń i ruchu bocznego. [6][4]

Do tego dochodzą jeszcze dwie „krytyczne” eskalacje uprawnień: w Windows Graphics Component (CVE-2026-20822, UAF, wyścig o zasoby) i w VBS Enclave (CVE-2026-20876, heap overflow). W obu przypadkach Microsoft klasyfikuje ryzyko eksploatacji jako niższe, ale jeśli ktoś już jest na twojej maszynie, takie EoP to często brakujący stopień do SYSTEM/VTL2. [6][1]

Sprzątanie po modemach, czyli „życie na linii”

Jeszcze jeden wątek, który warto zauważyć: Microsoft usunął z Windows kolejne leciwe sterowniki modemów Agere – agrsm64.sys i agrsm.sys – w związku z dawną, ale wciąż realną eskalacją uprawnień (CVE-2023-31096). Nie, nie musisz mieć wpiętego modemu: sama obecność sterownika robiła z systemu cel. To już druga odsłona „odkurzania” klasy sterowników, które latami „żyły na linii” bez nadzoru. Dobra decyzja – i pytanie, ile jeszcze takich niespodzianek siedzi w sterownikach z minionej epoki. [1]

Ile tego jest naprawdę?

Tu zaczyna się zabawa w statystykę. Różne zespoły liczą różnie: 112 (Microsoft/Talos/Arctic Wolf), 113 (Krebs), 114 z Chromium, a Qualys dolicza do 115, uwzględniając m.in. Edge łatanego wcześniej w miesiącu. Wspólny mianownik: osiem „krytyków”, 20+ RCE i – co najważniejsze – dominacja eskalacji uprawnień (ok. 57 według Qualys). To mówi nam tyle, że napastnicy wciąż grają łańcuchami: mały wyciek tu, EoP tam, na koniec RCE i jazda przez sieć.

Co to znaczy dla ciebie

• Jeśli masz Windows na biurkach i serwerach: zrób szybką rundę aktualizacji. CVE-2026-20805 dotyka wszystkich wspieranych (i w ESU) edycji – od Windows 10 22H2 po Windows 11 25H2 i Windows Server 2012-2025. Aktualizacje zbiorcze mają m.in. KB 5074109 (Windows 11 24H2/25H2), KB 5073455 (Windows 11 23H2) i KB 5073724 (Windows 10 22H2). [8][3]
• Jeśli używasz Office/M365: aktualizuj klienty i przypomnij ludziom o zasadzie „otwieramy w Protected View”. Preview Pane w Outlooku/Exploratorze to wygoda, ale też wektor.
• Jeśli utrzymujesz systemy przemysłowe/legacy: sprawdź, czy usunięcie sterowników Agere nie ruszyło jakichś egzotycznych rozwiązań. W 99% nic się nie stanie – ale lepiej wiedzieć niż zgadywać.

Krótka interpretacja

To wydanie jest lekcją, by nie gapić się ślepo w CVSS. DWM z CVSS 5.5 i etykietą „Important” jest realnie groźniejszy niż połowa „krytyków”, bo idealnie wpisuje się w obecne techniki łańcuchowania exploitów. Rynek dalej pokazuje, że „małe” wycieki informacji są dziś dużymi dźwigniami. Druga lekcja: Microsoft przyspiesza archeologię sterowników. Dobrze, bo im mniej „kurzu” w kernelu, tym trudniej o cudowne EoP na jedno kliknięcie.

Podsumowanie

Plan działania jest prosty: zainstalować styczniowe zbiorcze aktualizacje, priorytetowo potraktować CVE-2026-20805, łatki na Office/Word oraz LSASS, a po drodze wyrzucić z systemu to, co od lat tylko zajmowało miejsce (patrz: sterowniki modemów). Jeśli żonglujesz oknami w Windows tak sprawnie jak DWM, znajdź jeszcze okno na testy i restart. Lepiej teraz, niż po incydencie.

FAQ

Czy trzeba instalować styczniowe łatki od razu?

Tak – zwłaszcza poprawkę na CVE-2026-20805, którą CISA oznaczyła jako aktywnie wykorzystywaną (deadline dla instytucji publicznych: 03.02.2026). Pozostałe krytyczne RCE w Office/LSASS też powinny wejść w pierwszej turze. [4]

Jak sprawdzić, czy mam łatkę na CVE-2026-20805 (DWM)?

Najprościej: Windows Update → Historia aktualizacji i sprawdź styczniową zbiorczą (np. KB 5074109 dla Windows 11 24H2/25H2, KB 5073455 dla 23H2, KB 5073724 dla Windows 10 22H2). W środowiskach korporacyjnych porównaj KB z biuletynem Microsoft/WSUS.

Czy po tych łatkach Preview Pane w Outlooku/Exploratorze jest bezpieczny?

Jest bezpieczniejszy, ale nie „magicznie bezpieczny”. Aktualizuj Office i włącz/proś o korzystanie z Protected View; nie podglądaj plików z nieznanych źródeł.

Czy styczniowe aktualizacje wymagają restartu Windows?

Z reguły tak – większość łatek jąder i usług systemowych wymaga restartu, by załadować nowe biblioteki/sterowniki.

Co z usuniętymi sterownikami Agere (agrsm*.sys)?

Microsoft usuwa je w ramach łatania CVE-2023-31096. W typowych PC nic nie zauważysz; jeśli masz starą infrastrukturę z modemami, sprawdź kompatybilność i plan migracji.

Źródła

• [1] https://krebsonsecurity.com/2026/01/patch-tuesday-january-2026-edition/
• [2] https://blog.qualys.com/category/vulnerabilities-threat-research
• [3] https://arcticwolf.com/resources/blog/microsoft-patch-tuesday-january-2026/
• [4] https://cyberpress.org/microsoft-fixes-114-vulnerabilities/
• [5] https://securityaffairs.com/186888/hacking/microsoft-patch-tuesday-security-updates-for-january-2026-fixed-actively-exploited-zero-day.html
• [6] https://blog.talosintelligence.com/microsoft-patch-tuesday-january-2026/
• [7] https://blog.qualys.com/vulnerabilities-threat-research/2026/01/13/microsoft-patch-tuesday-january-2026-security-update-review
• [8] https://arcticwolf.com/resources/blog/microsoft-patch-tuesday-october-2025/