2026年1月微软“补丁星期二”正式推送,本次共发布了112个微软安全补丁,并重新发布了3个非微软漏洞公告。此次更新范围广泛,涉及Windows 核心组件、远程访问服务、文件系统及 Office 生产力套件等多个关键领域,需要 IT 团队高度重视并有序部署。
本月修复的漏洞中,已确认存在1个被主动利用的“零日漏洞”(CVE-2026-20805)。此外,微软还将多个漏洞标记为“更可能被利用”,这意味着它们面临较高的现实攻击风险,需尽快修复。
尽管没有出现 CVSS 9.0分以上“严重”评级漏洞,但多个高严重性且具备可利用条件的漏洞共同揭示了一个事实:当操作系统核心组件、驱动程序与权限提升、本地代码执行等常见攻击技术相结合时,足以累积成显著的阶段性风险。
本次更新规模庞大,涵盖 Windows 平台众多组件与服务,主要涉及四大关键领域:
Windows 核心与内核组件:包括内核本身、辅助驱动程序、WinSock、Win32K、NTFS、CLFS 以及桌面窗口管理器(DWM);
文件系统与存储:涉及 NTFS 和 CLFS 驱动程序,这些是系统完整性的基础,常被纳入攻击链,成为突破系统防线的切入点;
远程访问与连接服务:包括路由和远程访问服务(RRAS),直接关联远程办公场景的安全,漏洞可能导致攻击者非法接入内网;
Microsoft Office 及服务器组件:特别是 SharePoint、Excel/Word 文档处理,以及 SQL Server、WSUS 等。
受影响组件的多样性要求必须采取结构化、基于风险的补丁策略。
零日漏洞与高风险漏洞
已被主动利用的零日漏洞(1个)
CVE-2026-20805(桌面窗口管理器):攻击者正在野外主动利用此漏洞。该漏洞允许本地攻击者通过 Windows 核心图形/窗口组件 DWM 进行权限提升。运行图形界面或多用户工作环境的系统风险较高。
高利用可能性漏洞(8个)
微软还将另外几个漏洞归类为“更可能被利用”,通常是攻击者在入侵后用于横向移动或提权的目标:
CVE-2026-20816(Windows 安装程序)
CVE-2026-20817(Windows 错误报告)
CVE-2026-20820(Windows通用日志文件系统(CLFS)驱动程序)
CVE-2026-20840/20922(Windows NTFS)
CVE-2026-20843(Windows 路由和远程访问服务(RRAS))
CVE-2026-20860(Windows WinSock 辅助功能驱动程序)
CVE-2026-20871(桌面窗口管理器)
高严重性漏洞(3个)
虽然没有超过 CVSS 9.0分的漏洞,但以下CVSS8.8分的高危漏洞影响广泛部署的企业服务,需优先关注:
CVE-2026-20868(Windows RRAS):影响远程访问服务,企业内网远程接入安全面临挑战;
CVE-2026-20947/20963(Microsoft Office SharePoint):针对协作平台,多部门共用场景下风险易扩散。
补丁优先级部署指南
面对海量漏洞,盲目全量推送易引发系统不稳定,建议采用分阶段、基于风险的部署策略,高效平衡安全与业务连续性:
72小时内紧急修复(最高优先级)
立即部署针对已确认被利用及“更可能被利用”漏洞的补丁,涵盖所有工作站和服务器:
零日漏洞 CVE-2026-20805
上述所有 “更可能被利用”的漏洞
CVE-2026-20868(RRAS)
CVE-2026-20947/20963(SharePoint)
1-2周内完成修复(中优先级)
在首批关键补丁验证稳定后,部署以下可能带来远程代码执行或权限提升风险的补丁:
其他文件系统与驱动程序漏洞(如 NTFS/CLFS 变种);
Windows 平台与 UI 组件(安装程序、Shell、文件资源管理器);
Office 文档处理(Word、Excel)相关漏洞;
服务器角色(SQL Server、WSUS、Windows 部署服务)漏洞。
常规维护周期修复(低优先级)
其余严重性较低或“不太可能被利用”的漏洞,可纳入常规维护窗口处理。
非微软漏洞重发布
微软此次还重新发布了3个影响旧版调制解调器驱动和基于 Chromium 的 Edge 的漏洞公告。除非环境中仍在使用受影响组件,否则优先级相对较低。
Splashtop AEM 助力企业应对补丁星期二
本月的更新再次印证:当活跃漏洞、高利用可能性漏洞与延迟的补丁周期相遇,终端风险会急剧上升。Splashtop AEM 旨在帮助 IT 团队更快响应、更精准修复、并大幅减少手动操作。
01 快速响应“零日”漏洞,抢占时间窗口
面对如 CVE-2026-20805这类正在被利用的漏洞,修补速度至关重要。Splashtop AEM 提供Windows 和 macOS 的实时操作系统补丁,相比延迟检测模型,能极大缩短风险暴露期。您可以在第一时间修复高危漏洞,无需等待计划维护周期,并通过仪表盘清晰掌握未修复终端。
02 基于 CVE 的自动化修补
面对本月庞大的补丁数量和复杂的可利用性混合,手动修补极易疏漏。Splashtop AEM 将漏洞直接映射到CVE 漏洞详情,使优先级判断一目了然。通过基于策略的工作流自动部署补丁,确保所有终端修复一致,无需依赖电子表格、临时脚本或加班操作。
03 弥补 Microsoft Intune 补丁管理短板
尽管 Intune 提供了基础的终端管理,但补丁星期二常暴露其局限性。Splashtop AEM 作为强大补充,提供实时的补丁执行(而非延迟更新周期)、更广泛的第三方应用程序补丁覆盖,以及对高危漏洞修复时机的更精细控制。这对于攻击者常利用的文件系统、驱动和 Windows 服务漏洞尤为重要。
04 比传统 RMM 更轻量、更专注
对于主要使用 RMM 进行补丁和可见性的团队,其复杂性可能在高风险时期拖慢响应。Splashtop AEM 提供了一个更轻量级、专注于速度与清晰度的平台。它内置仪表板、资产报告和脚本功能,并支持分级部署以在广泛推广前验证补丁,在保持控制力的同时减轻管理负担。
2026年1月的补丁星期二在更新体量和风险等级上均不容小觑。一个活跃的零日漏洞、一系列“更可能被利用”的CVE,以及影响核心Windows服务的高严重性问题,共同强化了一个IT团队必须面对的现实:延迟或不一致的打补丁行为,将持续为攻击者提供提权、横向移动和深化入侵的机会。
采用结构化、基于风险的修补方法,能帮助团队优先处理最关键威胁,同时在多样化环境中保持稳定。而对暴露系统的可见性、在漏洞被利用时的快速行动能力,以及能减少手动工作的自动化流程,如今已成为必需品,而非可选配置。
