Microsoft hat im Januar 2026 Patches für mindestens 113 Sicherheitslücken veröffentlicht, darunter acht kritische Fehler. Eine Zero-Day-Schwachstelle in der Desktop Window Manager wird bereits aktiv von Angreifern ausgenutzt.
Microsoft hat sich heute wieder an die Arbeit gemacht und Sicherheitsupdates für seine Windows-Betriebssysteme und unterstützte Software bereitgestellt. Die Bilanz kann sich sehen lassen: Mindestens 113 Sicherheitslücken wurden geschlossen, davon acht mit der höchsten Kritikalitätsstufe. Besonders brisant ist dabei die Tatsache, dass Angreifer bereits eine der behobenen Schwachstellen im Feldeinsatz nutzen.
Die problematische Zero-Day-Lücke trägt die Bezeichnung CVE-2026-20805 und versteckt sich in der Desktop Window Manager (DWM), einer Schlüsselkomponente von Windows, die die Fensteranordnung auf dem Bildschirm regelt. Laut Kev Breen, Senior Director für Cyber Threat Research bei Immersive, ist dies trotz des mittelmäßigen CVSS-Scores von 5,5 ein ernstes Problem. Microsoft hat bestätigt, dass die Lücke bereits aktiv von Bedrohungsakteuren ausgenutzt wird.
Breen erläutert: Solche Schwachstellen werden typischerweise dazu genutzt, um Address Space Layout Randomization (ASLR) zu kompromittieren, eine der wichtigsten Sicherheitsmaßnahmen moderner Betriebssysteme gegen Pufferüberläufe und Speichermanipulationen. “Durch das Offenlegen von Speicheradressen lässt sich diese Lücke mit anderen Code-Execution-Flaws kombinieren und aus einem komplexen, unreliablen Exploit-Versuch wird ein praktisches, wiederholbares Angriffsszenario”, so Breen. “Da Microsoft nicht offengelegt hat, welche weiteren Komponenten in solche Exploit-Ketten verwickelt sein könnten, bleibt für Sicherheitsteams derzeit nur eine Maßnahme: schnellstmöglich patchen.”
Chris Goettl, Vice President of Product Management bei Ivanti, warnt davor, die Bedrohung basierend auf der “Wichtig”-Einstufung und dem niedrigen CVSS-Wert zu unterschätzen. CVE-2026-20805 betrifft alle derzeit unterstützten Versionen von Windows und sollte nach risikobasierter Bewertung als deutlich kritischer eingestuft werden.
Unter den als kritisch eingestuften Patches befinden sich zwei Remote-Code-Execution-Fehler in Microsoft Office (CVE-2026-20952 und CVE-2026-20953), die bereits durch das reine Ansehen einer manipulierten Nachricht in der Vorschau ausgelöst werden können.
Eine weitere interessante Entwicklung betrifft Legacy-Modem-Treiber. Wie schon im Oktober 2025, entfernt Microsoft erneut veraltete Modem-Treiber aus Windows – dieses Mal die Treiber agrsm64.sys und agrsm.sys. Adam Barnett von Rapid7 erklärt: Für CVE-2023-31096, eine Privilege-Escalation-Lücke in einem ähnlichen Modem-Treiber, existiert bereits funktionierendes Exploit-Code. Diese Schwachstelle wurde vor über zwei Jahren veröffentlicht und von dem ursprünglichen Forscher dokumentiert.
Alle drei betroffenen Modem-Treiber stammen vom gleichen, mittlerweile defunkten Hersteller und waren seit Jahrzehnten in Windows integriert. Für die meisten Nutzer bleibt diese Entfernung unbemerkt, aber in bestimmten Kontexten wie industriellen Kontrollsystemen könnten noch aktive Modems vorhanden sein. Barnett stellt sich eine unbequeme Frage: Wie viele weitere veraltete Modem-Treiber schlummern noch auf einem aktuell gepatchten Windows-System, und wie viele weitere Privilege-Escalation-Lücken werden Angreifer noch aus dieser Treiber-Sammlung ausschlachten?
Eine besondere Aufmerksamkeit verdient auch CVE-2026-21265, eine kritische Security-Feature-Bypass-Lücke in Windows Secure Boot. Diese Schutzfunktion soll gegen Rootkits und Bootkits schützen, verlässt sich aber auf Zertifikate aus dem Jahr 2011, die im Juni und Oktober 2026 ablaufen werden. Danach können Geräte ohne die neueren 2023er-Zertifikate keine weiteren Secure-Boot-Fixes mehr erhalten.
Barnett warnt vor Aktualisierungen des Bootloaders und BIOS: Eine genaue Vorbereitung für die spezifische OS- und BIOS-Kombination ist essentiell, da falsche Schritte zu einem nicht startfähigen System führen können. “Fünfzehn Jahre sind in der IT-Sicherheit eine Ewigkeit. Aber die Zeit läuft ab für die Microsoft-Root-Zertifikate, die seit der Stuxnet-Ära im gesamten Secure-Boot-Ökosystem signieren”, erinnert Barnett. Microsoft stellte Ersatzzertifikate bereits 2023 bereit, zusammen mit CVE-2023-24932, das auch die BlackLotus-Bootkit-Schwachstelle adressierte.
Jenseits von Windows kümmert sich auch Mozilla um seine Browser-Nutzer: Firefox und Firefox ESR erhielten Updates für insgesamt 34 Schwachstellen, zwei davon sind bereits unter Beschuss (CVE-2026-0891 und CVE-2026-0892). Behoben sind diese in Firefox 147 und Firefox ESR 140.7.
Goettl rechnet außerdem mit Updates für Google Chrome und Microsoft Edge in dieser Woche. Chrome WebView erhielt bereits am 6. Januar ein Update für CVE-2026-0628, eine Schwachstelle mit hohem Schweregrad.
Wie immer bietet das SANS Internet Storm Center eine detaillierte Aufschlüsselung nach Schweregrad. Windows-Administratoren sollten askwoody.com im Auge behalten, um über mögliche Kompatibilitätsprobleme mit den neuen Patches informiert zu bleiben.
Quelle: Krebs on Security