2026年1月的补丁星期二为112个Microsoft CVE提供了安全更新,以及3个重新发布的非Microsoft CVE。本月的更新解决了涵盖Windows核心组件、远程访问服务、文件系统和Office生产力套件的一系列问题。
本月修复中包括一个被确认在野外积极利用的漏洞:桌面窗口管理器中的桌面窗口系统漏洞(CVE-2026-20805)。另外,多个漏洞被评估为“更可能被利用”,这表明风险升级,需要快速修复。
虽然本月没有任何漏洞达到罕见的CVSS 9.0+ “严重”标签,但一些高严重性和已准备好利用的缺陷展示了当核心操作系统组件和驱动程序与常见攻击者技术(如权限提升和本地代码执行)相关时可能积累的阶段性风险。
Microsoft 补丁概览
本月的更新周期规模较大,包含112个Microsoft CVE,覆盖广泛的Windows平台组件和服务。重点关注领域包括:
Windows 核心和内核组件,包括内核本身、辅助驱动程序、WinSock、Win32K、NTFS、CLFS 和 DWM。
文件系统和存储,包括NTFS和CLFS驱动程序,它们是系统完整性的基础,通常是漏洞链的目标。
远程访问和连接服务,包括路由和远程访问服务 (RRAS)。
Microsoft Office 和生产力组件, 尤其是 SharePoint 和 Excel/Word 文档处理。
服务器和工具组件,包括 SQL Server、WSUS 和 Windows 部署服务。
受影响组件的多样性,从核心��操作系统驱动程序到面向用户的应用程序,强调了需要一个结构化的补丁策略,该策略既考虑风险严重性又考虑实际可利用性。
零日和可能被利用的漏洞
正在被积极利用的零日漏洞
CVE-2026-20805 (Desktop Window Manager): 该漏洞已确认正在被积极利用。它使本地攻击者能够通过DWM(Windows核心图形/窗口组件)提升权限。运行图形界面或托管多用户工作环境的系统特别容易受到攻击。
更可能被利用
除了已确认的零日漏洞外,Microsoft还将其他几个漏洞标记为“更可能被利用”,这表明对手经常瞄准的条件:
CVE-2026-20816: Windows Installer
CVE-2026-20817: Windows错误报告
CVE-2026-20820: Windows Common Log File System (CLFS) 驱动程序
CVE-2026-20840: Windows NTFS
CVE-2026-20843:Windows 路由和远程访问服务 (RRAS)
CVE-2026-20860: Windows Ancillary Function Driver for WinSock
CVE-2026-20871: 桌面窗口管理器
CVE-2026-20922: Windows NTFS
这些问题通常具有较高的基本评分(7.8+),影响常见的操作系统功能,并且常常在入侵后的行动中被利用,例如横向移动或权限提升。
高严重性CVE(CVSS 8.8)
虽然本月没有 CVE 的评分高于 9.0,但有几处漏洞位于严重性评级的高端(CVSS 8.8),影响广泛部署的服务和协作平台:
CVE-2026-20868: Windows RRAS (8.8)
CVE-2026-20947: Microsoft Office SharePoint (8.8)
CVE-2026-20963: Microsoft Office SharePoint (8.8)
这些问题不仅得分很高,而且还影响广泛企业使用的服务,进一步证明了早期优先处理的合理性。
补丁优先级指导
72小时内打补丁
将第一波部署重点放在已确认利用和高风险可能利用的漏洞上:
CVE-2026-20805: 桌面窗口管理器(正在被积极利用)
更可能的利用设置
CVE-2026-20816(Windows Installer)
CVE-2026-20817(Windows 错误报告)
CVE-2026-20820(CLFS 驱动程序)
CVE-2026-20840/20922(Windows NTFS)
CVE-2026-20843 (RRA)
CVE-2026-20860(WinSock)
CVE-2026-20871 (DWM)
高严重性(CVSS 8.8)漏洞
CVE-2026-20868 (RRA)
CVE-2026-20947/20963 (SharePoint)
这些更新针对具有高漏洞利用潜力或在攻击链中经常使用的组件,应该优先在工作站和服务器上进行。
在一到两周内打补丁
在初始紧急窗口之后,下一批发布的补丁包括文件系统和驱动程序问题、平台服务以及Office漏洞,这些漏洞在与其他漏洞结合使用时可能导致远程代码执行或权限升级:
文件系统 & 驱动程序 EoPs(例如,额外的 NTFS/CLFS 变体)
Windows 平台和 UI 组件(安装程序,外壳,文件资源管理器)
Office 文档处理(Word、Excel)
服务器角色(SQL Server, WSUS, Windows Deployment Services)
这些补丁应该在验证关键的第一波之后进行部署。
定期补丁节奏
剩余的漏洞,一般来说严重性较低或被评估为不太可能被利用的,应当纳入你的标准维护窗口中:
组件如 Hyper-V、SMB Server 变体、Kerberos、NDIS �和遗留服务
UI/UX 组件,如 WalletService、TWINUI 和远程协助
影响较小的 Office/SharePoint 问题,漏洞利用的可能性更低
重新发布的非Microsoft CVEs
Microsoft 还重新发布了三个影响旧版调制解调器驱动程序和基于 Chromium 的 Edge 的非 Microsoft CVE:
CVE-2023-31096: Agere Windows Modem 驱动程序
CVE-2024-55414: Windows 摩托罗拉软调制解调器驱动程序
CVE-2026-0628: Microsoft Edge(基于 Chromium)
这些 CVE 应该针对受影响的环境进行审核,但通常优先级较低,除非仍然存在且可被利用。
Splashtop AEM 如何提供帮助
一月的补丁星期二强调了当被积极利用和可能被利用的漏洞与延迟的补丁周期相交时,终端风险是如何迅速升级的。Splashtop AEM 旨在帮助 IT 团队更快、更精准地响应,减少人工操作。
1. 更快应对被主动利用的漏洞
当像CVE-2026-20805这样的漏洞被积极利用时,修补的时间至关重要。
Splashtop AEM 启用:
实时操作系统补丁用于Windows和macOS,与延迟签到模式相比,减少了暴露时间
立即修复 高风险漏洞,无需等待计划维护周期
集中可视性 了解哪些端点在补丁星期二后仍然暴露
这使团队在确认被利用时能够果断行动,而不是依赖尽力而为的推出时间表。
2. 使用自动化、基于CVE的补丁减少人工工作
对于仍在手动打补丁的团队来说,一月份的数量和可利用性组合很快就会在操作上令人不堪重负��。
Splashtop AEM 帮助通过以下方式:
将漏洞直接映射到CVE级别的洞察,使优先级更清晰
通过基于策略的工作流实现补丁部署自动化
确保各工作站和服务器之间的一致补救,无需自定义脚本
这减少了对电子表格、一次性脚本和非工作时间打补丁的依赖。
3. 填补 Microsoft Intune 遗留的空白
虽然 Microsoft Intune 提供了基本的终端管理,但补丁星期二经常暴露其局限性。
Splashtop AEM 补充 Intune 功能:
实时修补执行,而不是延迟的更新周期
更广泛的第三方应用程序补丁覆盖
更精细控制 针对高风险漏洞的修正时间
这对于文件系统、驱动程序和攻击者在初始访问后经常利用的Windows服务漏洞尤其有价值。
4. 传统RMM的简化替代方案
对于主要用于补丁和可见性的RMM团队,复杂性可能会在高风险发布周期中减慢响应速度。
Splashtop AEM 提供:
一个专注于速度和清晰度的轻量级平台
内置仪表盘、库存报告和脚本编写
基于环的部署以验证补丁在广泛推出之前
这有助于团队在不需要完整RMM工具集的情况下保持控制。
IT团队的最终思考
2026年1月的补丁星期二结合了有意义的数量和增加的风险。一个正在被积极利用的漏洞,一组广泛的“更可能被利用”的CVE,以及跨Windows核心服务的高严重性问题,强化了IT团队熟悉的现实。延迟或不一致的补丁更新继续为攻击者创造机会,以提升权限、横向移动和加深入侵。
采用结构化的基于风险的修补方法可以帮助团队优先关注最重要的事项,同时在多样的环境中保持稳定性。现在,了解暴露系统的可见性、在确认被利用时快速采取行动的能力,以及减少人工操作的自动化都是必不可少的,而非可选。
如果您希望改善团队响应 Patch Tuesday 风险的方式,请 启动 Splashtop AEM 的免费试用 ,了解实时补丁、基于 CVE 的洞察和自动化修复如何帮助减少暴露并简化端点安全操作。
