El 13 de gener de 2026, en el seu primer Patch Tuesday de l’any, Microsoft va corregir CVE-2026-20805, una vulnerabilitat de divulgació d’informació al Desktop Window Manager (DWM) de Windows que ja s’estava explotant activament com a zero-day. CISA la va ficar aquell mateix dia al seu catàleg de Vulnerabilitats Explotades Conegudes (KEV) i va posar el 3 de febrer de 2026 com a data límit perquè les agències federals dels EUA la remediessin.
Què és la vulnerabilitat
El Desktop Window Manager és el component que s’encarrega de compondre i renderitzar la interfície gràfica de Windows: efectes de finestres, transparències, miniatures. La fallada, classificada com a CWE-200 (exposició d’informació sensible a un actor no autoritzat), deixa que un atacant local i autenticat llegeixi l’adreça d’una secció de memòria associada a un port ALPC (Advanced Local Procedure Call) remot, que viu en memòria de mode usuari on diversos components de Windows coordinen operacions entre si.
D’entrada sembla un problema menor: només revela una adreça de memòria i per si mateix no executa codi ni toca dades. D’aquí el seu CVSS 3.1 de 5.5 (mitjana), amb vector AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N. Però el seu valor real rau en el que obre la porta. En filtrar una adreça del procés DWM, un atacant pot derrotar l’ASLR (Address Space Layout Randomization), la protecció que aleatoritza on se situen els components en memòria. Saber aquesta adreça li dona un punt de partida fiable per encadenar la fallada amb un bug d’execució de codi o d’elevació de privilegis, i així un exploit inestable passa a ser fiable.
A qui afecta
El problema toca un ampli ventall de versions de Windows, incloses Windows 10, Windows 11 i Windows Server (de 2012 a 2025). Qualsevol sistema amb DWM actiu i sense el pedaç de gener de 2026 és vulnerable. Com que cal accés local autenticat, l’escenari habitual és el de post-explotació: un atacant que ja té un punt de suport a la màquina, per phishing, malware o credencials robades, fa servir aquesta fallada d’esglaó per escalar privilegis.
Gravetat
La seva puntuació CVSS és “mitjana”, però la barreja de baixa complexitat, cap interacció de l’usuari i explotació confirmada a la xarxa la converteix en objectiu prioritari per als operadors de malware. Que CISA la sumés al KEV el mateix dia del pedaç deixa clar que no és teòrica: hi ha activitat real aprofitant-la.
Mitigació i pedaç
L’única solució que serveix és aplicar l’actualització de seguretat de Microsoft de gener de 2026. Microsoft va publicar números de compilació apedaçats per a cada versió suportada de Windows. Les recomanacions són senzilles:
- Instal·la com més aviat millor el pedaç del Patch Tuesday de gener de 2026.
- Si el teu entorn no pot actualitzar a l’instant, segueix la guia BOD 22-01 de CISA o, en sistemes sense suport, planteja’t retirar-los.
- Mantén defenses en profunditat (EDR, mínim privilegi) que posin difícil l’accés local previ que la fallada necessita.
Aquest zero-day va arribar en un Patch Tuesday especialment carregat: 114 vulnerabilitats corregides (113 CVE segons NVD), 8 de crítiques. Per a qui administra sistemes, recorda una cosa ja sabuda: una fuita d’informació que sembla trivial pot ser la peça que torna plenament operativa una cadena d’exploits.
Font
- BleepingComputer / Microsoft January 2026 Patch Tuesday: https://nvd.nist.gov/vuln/detail/CVE-2026-20805
- Detall del CVE a NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-20805
- Fitxa del sistema afectat: /ca/windows-desktop