2026年1月的周二補丁日提供了112個Microsoft CVE的安全更新,此外還重新發布了3個非Microsoft CVE。本月的發行版本解決了廣泛的問題,涵蓋了Windows核心元件、遠端存取服務、檔案系統和Office生產力套件。
本月修復中包含一個已確認在野外被積極利用的漏洞:Desktop Window Manager 中的桌面窗口系統錯誤(CVE-2026-20805)。此外,許多漏洞被評為“更可能被利用”,這表示風險增加並需要快速補救。
雖然這個月沒有任何漏洞達到罕見的 CVSS 9.0+“關鍵”標籤,但幾個高嚴重性和可立即利用的缺陷說明了當核心作業系統元件和驅動程式與常見攻擊者技術如權限提升和本地代碼執行相交時,可能積累的偶發風險。
Microsoft 更新概覽
本月的更新週期規模相當大,涵蓋了112個Microsoft CVE,涉及 Windows 平台的多個元件和服務。重點關注領域包含:
Windows 核心和內核組件,包括內核本身、輔助驅動程式、WinSock、Win32K、NTFS、CLFS 和 DWM。
檔案系統和存儲,包括 NTFS 和 CLFS 驅動程式,這些都是系統完整性的基礎,並且常常是利用鏈目標的對象。
遠端存取和連接服務,包括路由與遠端存取服務 (RRAS)。
Microsoft Office 和生產力元件,特別是 SharePoint 和 Excel/Word 文件處理。
伺服器和工具組件, 包括 SQL 伺服器、WSUS 和 Windows 部署服務。
從核心操作系統驅動程式到使用者介面的應用程式,受影響元件的多樣性強調了需要一個結構化的修補策略,考慮到風險嚴重性和實際世界的可利用性。
零日漏洞和可能被利用的漏洞
被積極利用的零日漏洞
CVE-2026-20805 (Desktop Window Manager): 此安全漏洞已確認正被積極利用。這使得本地攻擊者能夠透過DWM這個核心的Windows圖形/窗口組件提升權限。執行圖形界面或主機多使用者工作環境的系統特別容易受到影響。
更有可能被利用
除了已確認的零日漏洞外,還有其他幾個漏洞被 Microsoft 標記為「較可能被利用」,表示有利害關係者經常瞄準的條件:
CVE-2026-20816: Windows 安裝程式
CVE-2026-20817: Windows Error Reporting
CVE-2026-20820: Windows Common Log 檔案 System (CLFS) Driver
CVE-2026-20840: Windows NTFS
CVE-2026-20843: Windows 路由和遠端存取服務 (RRAS)
CVE-2026-20860: Windows 附屬功能驅動程式 (AFD) 用於 WinSock
CVE-2026-20871: 桌面視窗管理員
CVE-2026-20922: Windows NTFS
這些問題通常具有顯著的基本分數(7.8+),影響常見的操作系統功能,且經常在遭受入侵後的行動中被利用,如橫向移動或權限提升。
高危險性 CVEs (CVSS 8.8)
儘管本月的 CVE 沒有評分超過 9.0,但有幾個漏洞位於嚴重性尺度的頂端(CVSS 8.8),影響廣泛部署的服務和協作平台:
CVE-2026-20868: Windows RRAS (8.8)
CVE-2026-20947: Microsoft Office SharePoint (8.8)
CVE-2026-20963: Microsoft Office SharePoint (8.8)
這些問題不僅得分很高,還影響到具有廣泛企業用途的服務,進一步證明了優先處理的重要性。
補丁優先指導
在72小時內修補
將首波部署專注於已確認的利用和高風險可能被利用的漏洞:
CVE-2026-20805: 桌面視窗管理員 (被積極利用)
利用可能性更高設置
CVE-2026-20816 (Windows Installer)
CVE-2026-20817 (Windows Error Reporting)
CVE-2026-20820 (CLFS Driver)
CVE-2026-20840/20922 (Windows NTFS)
CVE-2026-20843 (RRAS)
CVE-2026-20860 (WinSock)
CVE-2026-20871 (DWM)
高嚴重性(CVSS 8.8)漏洞
CVE-2026-20868 (RRAS)
CVE-2026-20947/20963 (SharePoint)
這些更新解決了具有高利用潛力或在攻擊鏈中經常使用的元件,應優先在工作站和伺服器上進行更新。
在一到兩週內修補
在最初的緊急窗口之後,下一批要推出的補丁包括文件系統和驅動程式問題、平台服務以及 Office 漏洞,這些漏洞如果與其他漏洞結合,可能導致遠端執行代碼或權限提升:
Filesystem & 驅動程式 EoPs(例如,額外的 NTFS/CLFS 變體)
Windows 平台和 UI 元件(安裝程式、Shell、檔案瀏覽器)
Office 文件處理 (Word, Excel)
伺服器 roles (SQL 伺服器, WSUS, Windows 部署 Services)
這些修補程式應在確認關鍵的第一波後部署。
定期補丁節奏
其餘的漏洞,通常是低嚴重性或評估為不太可能被利用的,應納入您標準的維護窗口:
元件如 Hyper-V, SMB 伺服器變體, Kerberos, NDIS, 和舊版服務
UI/UX 元件如 WalletService、TWINUI 和遠端協助
影響較小且利用可能性較低的 Office/SharePoint 問題
重新發佈的非Microsoft CVE
Microsoft 也重新發佈了三個影響舊版數據機驅動程式和基於 Chromium 的 Edge 的非 Microsoft 的 CVE:
CVE-2023-31096: Agere Windows Modem Driver
CVE-2024-55414: Windows Motorola Soft Modem 驅動程式
CVE-2026-0628: Microsoft Edge (基於 Chromium)
這些 CVE 應該針對受到影響的環境進行審查,但一般來說,除非仍然存在且可被利用,否則優先級較低。
Splashtop AEM 如何提供幫助
一月份的補丁星期二強調了當被積極利用且可能被利用的漏洞與延遲修補週期相交時,終端風險如何迅速升級。Splashtop AEM 是為了幫助 IT 團隊以更快、更精確,並減少人工投入的方式來回應而設計的。
1. 更快速回應正在被利用的漏洞
當像 CVE-2026-20805 這樣的漏洞被積極利用時,修補的時間至關重要。
Splashtop AEM 啟用:
即時 OS 補丁 適用於 Windows 和 MacOS,相較於延遲登錄模型可減少曝光時間
立即修正 高風險漏洞,不必等待計劃的維護周期
集中化的可視性 了解哪些端點在封閉更新星期二之後仍然暴露
這讓團隊在確認遭到利用時可以果斷行動,而不是依賴最佳努力的推行時間表。
2. 使用自動化的CVE基準修補來減少人工成本
對於仍然靠人工打補丁的團隊來說,一月的漏洞數量和可被利用的組合很快就會在操作上令人招架不住。
Splashtop AEM 有助於:
將漏洞直接對應至CVE級別見解,使優先排序更加清晰
透過基於原則的工作流程自動化修補部署。
確保在工作站和伺服器之間維持一致的補救措施,而不需要自訂腳本
這樣可以減少對試算表、一次性腳本和加班修補的依賴。
3. 關閉 Microsoft Intune 遺留的漏洞
雖然 Microsoft Intune 提供基本的端點管理,但每個月的補丁星期二經常揭露其局限性。
Splashtop AEM 配合 Intune 提供:
即時修補執行,而不是延遲的更新週期
更廣泛的第三方應用程式修補 覆蓋
更精細控制 高風險漏洞修復的時機
這對於攻擊者在初始存取後經常利用的檔案系統、驅動程式和 Windows 服務漏洞特別有價值。
4. 傳統 RMM 的簡單替代方案
對於主要用於修補和可見度的 RMM 團隊來說,複雜性可能在高風險發布週期中減慢反應速度。
Splashtop AEM 提供:
一個輕量化平台,專注於速度和清晰度
內建儀錶板、詳細目錄報告和腳本編寫
基於環的部署 用於在大規模推廣之前驗證補丁
這幫助團隊在沒有完整 RMM 工具集的負擔下保持控制。
對 IT 團隊的最後想法
2026 年 1 月的 Patch Tuesday 結合了有意義的量與提高的風險。一個正在被積極利用的漏洞,一組廣泛的「更可能被利用」的 CVE,以及在核心 Windows 服務中的高嚴重性問題,加強了 IT 團隊熟悉的現實。延遲或不一致的修補持續為攻擊者提供機會,讓他們可以提升權限、橫向移動以及加深攻擊。
採用結構化的風險導向修補方法可幫助團隊優先專注於最重要的事項,同時在多元環境中維持穩定性。對外系統的可見性、當發現被利用時快速行動的能力以及減少人工操作的自動化現在是必須的,而不是可選的。
如果您希望改善您的團隊應對 Patch Tuesday 風險的方式,開始使用 Splashtop AEM 的免費試用,以了解即時修補、基於 CVE 的洞見和自動修復如何幫助減少暴露並簡化端點安全運作。
