- شناسه CVE-2026-20805 :CVE
- CWE-200 :CWE
- yes :Advisory
- منتشر شده: ژانویه 13, 2026
- به روز شده: فوریه 13, 2026
- امتیاز: 5.5
- نوع حمله: Information Disclosure
- اثر گذاری: Information Disclosure
- حوزه: سیستمعاملها و اجزای کلیدی آن
- برند: Microsoft
- محصول: Windows
- وضعیتPublished :CVE
- Yes :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری افشای اطلاعات حساس به عامل غیرمجاز در کامپوننت Desktop Window Manager (DWM) ویندوز شناسایی شده است. این ضعف امنیتی به یک مهاجم لوکال با دسترسی پایین اجازه میدهد که اطلاعات حساس، شامل آدرس بخشها از یک پورت ALPC از راه دور موجود در حافظه حالت کاربر (User-Mode Memory) را افشا کند.
توضیحات
آسیبپذیری CVE-2026-20805 در کامپوننت Desktop Window Manager (DWM) ویندوز ناشی از افشای اطلاعات حساس به عامل غیرمجاز مطابق باCWE-200 است. این کامپوننت مسئول مدیریت و رندر پنجرهها و افکتهای گرافیکی دسکتاپ ویندوز بوده و با جداسازی پردازشها (Process Isolation)، تجربه بصری روان و پایدار را برای کاربران فراهم میکند.
این آسیبپذیری به دلیل مدیریت نادرست ساختارهای مرتبط با ALPC (Advanced Local Procedure Call)، مکانیزم ارتباط بینپروسهای در ویندوز، رخ میدهد. نتیجه این ضعف، افشای آدرسهای حافظه حالت کاربر از پورتهای ALPC از راه دور (Remote ALPC Ports) یا اشارهگرهای آبجکتهای کرنل است. این اطلاعات به مهاجم لوکال با دسترسی پایین اجازه میدهد بدون نیاز به تعامل کاربر، دادههای حساس را استخراج و تحلیل نماید.
افشای این آدرسها برای مهاجمان اهمیت بالایی دارند، زیرا آنها میتوانند مکانیزم KASLR (Kernel Address Space Layout Randomization) را دور زده و موقعیت دقیق بخشهای کرنل را شناسایی کنند. این اطلاعات پایهای برای اجرای حملات پیچیدهتر روی کرنل فراهم میکند. مهاجم با استفاده از APIهای بومی (Native APIs) ویندوز مانند NtQuerySystemInformation و کلاس SystemHandleInformation میتواند شناسههای منابع سیستم را فهرست کند، آبجکتهای مرتبط با فرآیند dwm.exe (مثل پورتهای ALPC نوع 24/25 و Section نوع 36) را شناسایی کرده و آدرسهای مجازی حافظه کرنل را به دست آورد. کد اثبات مفهومی (PoC) موجود در GitHub این فرآیند را شبیهسازی میکند و خروجیهایی شامل آدرسهای معتبر 64 بیتی کرنل مانند 0xFFFFD58F80C0E5E0 تولید میکند. این آسیبپذیری بهصورت فعال در محیط واقعی (Exploited in the Wild) مورد بهرهبرداری قرار گرفته و در کاتالوگ KEV سازمان CISA ثبت شده است.
مایکروسافت در Patch Tuesday ژانویه 2026 بهروزرسانی امنیتی را ارائه کرده است و کاربران و سازمانها باید هرچه سریعتر سیستمهای آسیبپذیر را به نسخههای پچشده ارتقا دهند.
CVSS
| Score | Severity | Version | Vector String |
| 5.5 | MEDIUM | 3.1 | CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N/E:U/RL:O/RC:C |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| affected from 10.0.14393.0 before 10.0.14393.8783 | 32-bit Systems, x64-based Systems | Windows 10 Version 1607 |
| affected from 10.0.17763.0 before 10.0.17763.8276 | 32-bit Systems, x64-based Systems | Windows 10 Version 1809 |
| affected from 10.0.19044.0 before 10.0.19044.6809 | 32-bit Systems, ARM64-based Systems, x64-based Systems | Windows 10 Version 21H2 |
| affected from 10.0.19045.0 before 10.0.19045.6809 | 32-bit Systems, ARM64-based Systems, x64-based Systems | Windows 10 Version 22H2 |
| affected from 10.0.22631.0 before 10.0.22631.6491 | ARM64-based Systems | Windows 11 version 22H3 |
| affected from 10.0.22631.0 before 10.0.22631.6491 | x64-based Systems | Windows 11 Version 23H2 |
| affected from 10.0.26100.0 before 10.0.26100.7623 | ARM64-based Systems, x64-based Systems | Windows 11 Version 24H2 |
| affected from 10.0.26200.0 before 10.0.26200.7623 | ARM64-based Systems, x64-based Systems | Windows 11 Version 25H2 |
| affected from 6.2.9200.0 before 6.2.9200.25868 | x64-based Systems | Windows Server 2012 |
| affected from 6.2.9200.0 before 6.2.9200.25868 | x64-based Systems | Windows Server 2012 (Server Core installation) |
| affected from 6.3.9600.0 before 6.3.9600.22968 | x64-based Systems
|
Windows Server 2012 R2 |
| affected from 6.3.9600.0 before 6.3.9600.22968 | x64-based Systems | Windows Server 2012 R2 (Server Core installation) |
| affected from 10.0.14393.0 before 10.0.14393.8783 | x64-based Systems | Windows Server 2016 |
| affected from 10.0.14393.0 before 10.0.14393.8783 | x64-based Systems | Windows Server 2016 (Server Core installation) |
| affected from 10.0.17763.0 before 10.0.17763.8276 | x64-based Systems | Windows Server 2019 |
| affected from 10.0.17763.0 before 10.0.17763.8276 | x64-based Systems | Windows Server 2019 (Server Core installation) |
| affected from 10.0.20348.0 before 10.0.20348.4648 | x64-based Systems | Windows Server 2022 |
| affected from 10.0.25398.0 before 10.0.25398.2092 | x64-based Systems | Windows Server 2022, 23H2 Edition (Server Core installation) |
| affected from 10.0.26100.0 before 10.0.26100.32230 | x64-based Systems | Windows Server 2025 |
| affected from 10.0.26100.0 before 10.0.26100.32230 | x64-based Systems | Windows Server 2025 (Server Core installation) |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| 10.0.14393.8783 | 32-bit Systems, x64-based Systems | Windows 10 Version 1607 |
| 10.0.17763.8276 | 32-bit Systems, x64-based Systems | Windows 10 Version 1809 |
| 10.0.19044.6809 | 32-bit Systems, ARM64-based Systems, x64-based Systems | Windows 10 Version 21H2 |
| 10.0.19045.6809 | 32-bit Systems, ARM64-based Systems, x64-based Systems | Windows 10 Version 22H2 |
| 10.0.22631.6491 | ARM64-based Systems | Windows 11 version 22H3 |
| 10.0.22631.6491 | x64-based Systems | Windows 11 Version 23H2 |
| 10.0.26100.7623 | ARM64-based Systems, x64-based Systems | Windows 11 Version 24H2 |
| 10.0.26200.7623 | ARM64-based Systems, x64-based Systems | Windows 11 Version 25H2 |
| 6.2.9200.25868 | x64-based Systems | Windows Server 2012 |
| 6.2.9200.25868 | x64-based Systems | Windows Server 2012 (Server Core installation) |
| 6.3.9600.22968 | x64-based Systems | Windows Server 2012 R2 |
| 6.3.9600.22968 | x64-based Systems | Windows Server 2012 R2 (Server Core installation) |
| 10.0.14393.8783 | x64-based Systems | Windows Server 2016 |
| 10.0.14393.8783 | x64-based Systems | Windows Server 2016 (Server Core installation) |
| 10.0.17763.8276 | x64-based Systems | Windows Server 2019 |
| 10.0.17763.8276 | x64-based Systems | Windows Server 2019 (Server Core installation) |
| 10.0.20348.4648 | x64-based Systems | Windows Server 2022 |
| 10.0.25398.2092 | x64-based Systems | Windows Server 2022, 23H2 Edition (Server Core installation) |
| 10.0.26100.32230 | x64-based Systems | Windows Server 2025 |
| 10.0.26100.32230 | x64-based Systems | Windows Server 2025 (Server Core installation) |
استفاده محصول در ایران
در این جدول، تعداد صفحات ایندکسشده در گوگل با دامنه .ir که Windows Server، Windows 10 و Windows 11را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.
| Approx. Usage in .ir Domain via Google (Total Pages) | Search Query (Dork) | Product |
| 821,000 | site:.ir “Windows Server” | Windows Server |
| 767,000 | site:.ir “Windows 10” | Windows 10 |
| 602,000 | site:.ir “Windows 11” | Windows 11 |
نتیجه گیری
این آسیبپذیری با شدت متوسط در کامپوننت Desktop Window Manager (DWM) ویندوز به مهاجم لوکال با دسترسی پایین امکان افشای آدرسهای حساس حافظه کرنل و آدرس بخشها از پورتهای ALPC از راه دور در حافظه حالت کاربر را میدهد. با توجه به وجود PoC عمومی و بهرهبرداری فعال ثبت شده در CISA KEV, اجرای سریع اقدامات امنیتی زیر ضروری است:
- بهروزرسانی فوری سیستمها: تمام سیستمهای آسیبپذیر را با آخرین پچهای امنیتی ژانویه 2026 بهروزرسانی کنید. این اقدام مؤثرترین و قطعیترین راهکار برای رفع آسیبپذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل دارند و به کاهش ریسک این ضعف و حملات مشابه کمک میکنند.
- اعمال اصل حداقل دسترسی: دسترسی کاربران لوکال را محدود کرده و از استفاده از حسابهای Administrator برای فعالیتهای روزمره اجتناب کنید تا مهاجمان لوکال امکان بهرهبرداری نداشته باشند.
- نظارت و تشخیص: سیستمهای EDR/AV را برای نظارت بر دسترسی به APIهای Native مانند NtQuerySystemInformation و فهرستبندی منابع سیستم (enumerate system handles) بهروزرسانی کنید. همچنین، قوانین تشخیص برای الگوهای افشای آدرس کرنل (مانند دسترسی مشکوک به سوابق exe) را فعال نمایید.
- محدودسازی اجرای ابزارهای لوکال: در محیطهای حساس، از ابزارهایی مانند Windows Defender Application Control (WDAC) یا AppLocker برای جلوگیری از اجرای اسکریپتهای PoC و ابزارهای فهرستبرداری منابع سیستم (System Enumeration Tools) استفاده کنید.
- ثبت لاگ پیشرفته: ثبت رویدادها (Event Logging) را برای فعالیتهای فرآیند exe و عملیات مرتبط با ALPC فعال کنید و آنها را به سیستم مدیریت اطلاعات و رویداد امنیتی (SIEM) متصل نمایید تا تلاشهای استخراج آدرس شناسایی شوند.
- تست و شبیهسازی: در محیط آزمایشگاهی، PoCعمومی را با احتیاط اجرا کنید تا پوشش تشخیص EDR/AV و کنترلها ارزیابی شود.
اجرای سریع بهروزرسانیهای امنیتی، اعمال محدودیتهای دسترسی و نظارت مداوم، ریسک بهرهبرداری از این آسیبپذیری را بهطور چشمگیری کاهش میدهد و امنیت کرنل ویندوز را در برابر حملات تضمین میکند.
امکان استفاده در تاکتیکهای Mitre Attack (در زمان اجرای حمله)
Initial Access (TA0001)
مهاجم ابتدا باید به یک حساب کاربری معتبر در سیستم هدف دسترسی پیدا کند. این دسترسی میتواند از طریق روشهای مختلفی مانند بهرهبرداری از آسیبپذیری دیگر، استفاده از اعتبارنامههای سرقت شده (مثلاً از طریق فیشینگ)، یا دسترسی فیزیکی به سیستم در محیطهای اشتراکی فراهم شود.
Execution (TA0002)
پس از دسترسی، مهاجم با اجرای یک برنامه مخرب یا اسکریپت در سطح کاربر، درخواستهای ویژهای را به پورتهای ALPC سرویس DWM ارسال میکند تا فرآیند افشای اطلاعات را آغاز نماید. این کد در سطح دسترسی کاربر اجرا میشود.
Defense Evasion (TA0005)
دور زدن ASLR یک تکنیک مهم برای فرار از مکانیسمهای دفاعی سیستمعامل محسوب میشود . مهاجم با افشای آدرسهای حافظه، دفاعی را که برای بههم ریختن پیشبینیپذیری حملات طراحی شده بود، خنثی میکند.
Credential Access (TA0006)
اگرچه هدف اصلی این آسیبپذیری افشای آدرسهای حافظه است، اطلاعات افشا شده میتواند شامل بخشهایی از حافظه باشد که حاوی اعتبارنامهها (مانند هش رمز عبور) یا کلیدهای رمزنگاری نیز باشد . این امر به مهاجم در دسترسی به اطلاعات احراز هویت کمک میکند.
Discovery (TA0007)
مهاجم با تحلیل آدرسهای حافظه افشا شده، میتواند به درک عمیقتری از ساختار داخلی سیستمعامل و سایر فرآیندهای در حال اجرا دست یابد و نقاط ضعف بعدی را برای بهرهبرداری شناسایی کند.
Collection (TA0008)
در این مرحله، مهاجم دادههای افشا شده از حافظه (اعم از آدرسها و احتمالأ دادههای حساس) را جمعآوری کرده و برای استفاده در مراحل بعدی حمله ذخیره میکند.
Impact (TA0040)
بهرهبرداری موفق از این آسیبپذیری به تنهایی منجر به افشای اطلاعات محرمانه میشود . اما تأثیر نهایی آن زمانی نمایان میشود که به عنوان زنجیرهای برای حملات بحرانیتر مانند اجرای کد از راه دور (RCE) یا ارتقاء سطح دسترسی (EoP) استفاده گردد. این امر میتواند منجر به نابودی کامل محرمانگی، یکپارچگی و در دسترس بودن دادههای سیستم شده و در نهایت، سازمان را در معرض نقض قوانین حریم خصوصی و از دست رفتن اعتماد کاربران قرار دهد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2026-20805
- https://www.cvedetails.com/cve/CVE-2026-20805/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20805
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2026-20805
- https://vuldb.com/?id.340743
- https://github.com/Uzair-Baig0900/CVE-2026-20805-PoC
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2026-20805
- https://nvd.nist.gov/vuln/detail/CVE-2026-20805
- https://cwe.mitre.org/data/definitions/200.html
گزارش اثبات آسیبپذیری CVE-2026-20805
اطلاعات آسیبپذیری
عنوان: افشای اطلاعات در Desktop Window Manager مایکروسافت
شناسه: CVE-2026-20805
وضعیت مشاوره: Advisory / Patch Available
امتیاز CVSS: 5.5 (MEDIUM)
محصول: Microsoft Windows
محصول / نسخههای آسیبپذیر
در نسخههای زیر (پیش از اعمال وصله امنیتی):
• ویندوز 10 نسخههای 1607، 1809، 21H2، 22H2 برای معماریهای 32 بیت، x64 و ARM64
• ویندوز 11 نسخههای 23H2، 24H2، 25H2 برای معماریهای x64 و ARM64
• ویندوز سرور 2008، 2008 R2، 2012، 2012 R2، 2016، 2019، 2022، 2025
• ویندوز سرور هسته (Server Core) برای نسخههای 2012، 2012 R2، 2016، 2019، 2022، 2025
محیطهای درگیر
- تمامی سیستمهای مبتنی بر ویندوز که از سرویس Desktop Window Manager (DWM) برای ترکیب و رندر عناصر بصری دسکتاپ استفاده میکنند.
• محیطهای سازمانی که کاربران دارای دسترسی محلی سطح پایین (Low Privilege) هستند.
• سامانههایی که بهروزرسانیهای امنیتی ژانویه 2026 مایکروسافت را دریافت نکردهاند.
• زیرساختهای حیاتی که در آنها مهاجم توانستهاست دسترسی اولیه به یک سیستم را کسب کند.
• محیطهای مجازیسازیشده و ترمینال سرویسها که کاربران از راه دور به آن متصل میشوند.
کامپوننتهای آسیبپذیر
- سرویس Desktop Window Manager (dwm.exe)
• مکانیزم ارتباط بینفرایندی از نوع ALPC (Advanced Local Procedure Call)
• اشیاء هسته از نوع ALPC Port و Section Object
• ساختارهای داده مدیریتشده توسط DWM در حافظه هسته
ریشه مشکل (Root Cause Analysis)
ریشه اصلی این آسیبپذیری به یک نقص در مدیریت صحیح اطلاعات حساس در سرویس Desktop Window Manager (CWE-200) بازمیگردد. DWM که مسئول ترکیب و رندر عناصر بصری دسکتاپ ویندوز است، از طریق پورتهای ALPC با سایر فرایندها ارتباط برقرار میکند. هنگامی که یک پیام ALPC با ساختار خاصی به این پورت ارسال میشود، سرویس بهطور ناخواسته آدرس یک بخش از حافظه را که در فضای کاربری قرار دارد، بازمیگرداند . این آدرس در واقع یک اشارهگر معتبر به فضای آدرس هسته است.
این نقص ناشی از عدم مقداردهی صحیح یا پاکسازی ناکافی ساختارهای دادهای است که بین هسته و فضای کاربری به اشتراک گذاشته میشوند. در نتیجه، یک مهاجم محلی احرازهویتشده میتواند با فراخوانی توابع Native API ویندوز (مانند NtQuerySystemInformation) و پردازش خاص شناسههای دسته (Handle)، آدرسهای هسته را که مربوط به اشیاء ALPC و Section Objects هستند، به دست آورد . این نشتی اطلاعات به مهاجم اجازه میدهد تا مکانیزم امنیتی KASLR را دور بزند و آدرسهای پایه هسته را محاسبه کند.
بخش آسیبپذیر
رفتار ناامن سیستم:
افشای ناخواسته آدرسهای معتبر هسته از طریق سرویس DWM به فرایندهای سطح کاربری، بدون بررسی مجوزهای کافی یا پاکسازی دادههای حساس پیش از ارسال به کاربر.
نحوه سوءاستفاده مهاجم:
- مهاجم با دسترسی محلی سطح پایین (Low Privilege) وارد سیستم میشود.
• ابزاری (مانند اسکریپت PoC) اجرا میکند که با استفاده از NtQuerySystemInformation اقدام به شمارش همه دستههای سیستمی مینماید.
• فرایند dwm.exe را شناسایی کرده و دستههای متعلق به آن را فیلتر میکند.
• از بین دستههای فیلترشده، آنهایی که از نوع ALPC Port یا Section Object هستند (با شاخص نوع ۲۴/۲۵ یا ۳۶) انتخاب میشوند.
• ساختار داده مربوط به هر دسته بررسی شده و اشارهگرهای هسته که بهدرستی پاکسازی نشدهاند، استخراج میشوند.
• آدرسهای هسته بهدستآمده (مانند 0xFFFFD58F80C0E5E0) برای دور زدن KASLR در حملات بعدی استفاده میشوند.
نقش این آسیبپذیری در زنجیره حمله
این آسیبپذیری بهعنوان یک “تسهیلکننده حمله” (Attack Enabler) عمل میکند و معمولاً پس از کسب دسترسی اولیه توسط مهاجم مورد استفاده قرار میگیرد . در چرخه حیات حمله (Cyber Kill Chain)، این آسیبپذیری در فاز “نصب و راهاندازی” (Installation) یا “اقدام بر روی اهداف” (Actions on Objectives) جای میگیرد، جایی که مهاجم قصد دارد دسترسی خود را گسترش دهد. مهاجم پس از نفوذ اولیه (مثلاً از طریق یک فایل آلوده یا یک آسیبپذیری دیگر)، از این نقص برای جمعآوری اطلاعات در مورد ساختار حافظه هسته استفاده میکند. این اطلاعات سپس در ترکیب با یک آسیبپذیری دیگر (مانند Elevation of Privilege) برای اجرای کد در سطح هسته و بالا بردن سطح دسترسی به کار گرفته میشود . بنابراین، CVE-2026-20805 به تنهایی باعث به خطر افتادن کامل سیستم نمیشود، اما احتمال موفقیت حملات زنجیرهای را به شدت افزایش میدهد و به همین دلیل در فهرست آسیبپذیریهای مورد بهرهبرداری قرارگرفته CISA (KEV) ثبت شده است .
پیشنیازهای بهرهبرداری (Prerequisites)
- دسترسی محلی به سیستم هدف با یک حساب کاربری احرازهویتشده (حتی با سطح دسترسی پایین).
• نصب بودن یکی از نسخههای آسیبپذیر ویندوز بر روی سیستم.
• فعال بودن سرویس Desktop Window Manager (بهطور پیشفرض فعال است).
• عدم نصب وصله امنیتی ژانویه 2026 مایکروسافت.
• توانایی مهاجم برای اجرای کد (مانند یک اسکریپت یا ابزار) بر روی سیستم هدف.
• غیرفعال بودن یا ناکارآمدی مکانیزمهای دفاعی لایهبندیشده (مانند راهکارهای EDR که ممکن است فراخوانیهای Native API را رصد کنند).
رفتار مورد انتظار در حالت امن (Expected Secure Behavior)
- سرویس DWM نباید آدرسهای هسته را به فرایندهای سطح کاربری بازگرداند.
• تمامی دادههای ارسالی از هسته به فضای کاربری باید پیش از ارسال، پاکسازی (Sanitize) شده و فاقد اشارهگرهای حساس باشند.
• دسترسی به اطلاعات ساختارهای هسته باید صرفاً از طریق رابطهای امن و با بررسی مجوزهای کامل انجام شود.
• سیستم باید Fail-Closed عمل کند؛ یعنی در صورت بروز خطا در مدیریت حافظه، هیچ اطلاعاتی برگردانده نشود.
• مکانیزم KASLR باید مؤثر بوده و مهاجم نتواند آدرسهای پایه را از طریق روشهای قانونی سیستم افشا کند.
• فراخوانیهای توابع سیستمی مانند NtQuerySystemInformation باید بهگونهای محدود شوند که دسترسی به اطلاعات حساس نیازمند سطح دسترسی بالاتر باشد.
راهکارها و کاهش ریسک (Mitigation / Patch Guidance)
اقدامات فوری برای کاهش ریسک:
- نصب وصله امنیتی ارائهشده توسط مایکروسافت در تاریخ ۱۳ ژانویه 2026 [خطر: نصب نشدن وصله]. این وصله از طریق Windows Update یا Microsoft Update Catalog در دسترس است .
• اولویتبندی نصب وصله با توجه به مهلت تعیینشده توسط CISA (۳ فوریه 2026) .
• بررسی و ممیزی تمام حسابهای کاربری محلی که به سیستمهای حساس دسترسی دارند.
• محدودسازی دسترسیهای محلی صرفاً به کاربران ضروری.
اقدامات کوتاهمدت / میانمدت برای کاهش ریسک:
- برای سیستمهایی که قادر به نصب وصله نیستند، اعمال سیاستهای سختگیرانهتر برای کنترل دسترسی محلی.
• پایش و لاگبرداری از فراخوانیهای غیرعادی به توابع Native API که به dwm.exe اشاره دارند.
• فعالسازی قوانین کاهش سطح حمله (ASR) در Microsoft Defender for Endpoint که میتوانند برخی از رفتارهای بهرهبرداری را مسدود کنند.
• پیادهسازی لیست سفید (Allow-listing) برای جلوگیری از اجرای ابزارهای ناشناس و اسکریپتهای شناسایینشده.
اقدامات بلندمدت برای کاهش ریسک:
- اجرای اصل کمترین دسترسی (Principle of Least Privilege) برای تمامی کاربران و سرویسها.
• بهکارگیری راهکارهای EDR (Endpoint Detection and Response) برای شناسایی و پاسخ به تهدیدات پیشرفته.
• انجام مانورهای منظم امنیتی و شبیهسازی حملات برای ارزیابی اثربخشی کنترلهای دفاعی.
• بهروزرسانی مستمر خطمشیهای امنیتی و آموزش کاربران در خصوص خطرات دسترسی محلی و مهندسی اجتماعی.
تشخیص و مانیتورینگ (Detection & Monitoring)
نشانههای تلاش برای سوءاستفاده:
- فراخوانیهای غیرعادی و مکرر به تابع NtQuerySystemInformation با کلاس SystemHandleInformation از سوی یک فرایند با سطح دسترسی پایین .
• تلاش فرایندهای کاربری برای دسترسی به حافظه فرایند dwm.exe یا تعامل غیرمعمول با آن.
• ایجاد یا اجرای اسکریپتهایی با نامهای مرتبط با PoC (مانند dumper.py) در سیستم .
• خروجیهای غیرمعمول از ابزارهای اشکالزدایی یا مانیتورینگ حافظه که شامل آدرسهای هسته است.
• لاگهای امنیتی ویندوز که نشاندهنده الگوهای دسترسی غیرمجاز به اشیاء هستند.
منابع پیشنهادی برای مانیتورینگ و پایش:
- لاگهای رویداد امنیتی ویندوز (Windows Security Event Logs) با تمرکز بر رویدادهای مرتبط با دسترسی به اشیاء و فراخوانیهای API.
• تلهمتریهای راهکار EDR مانند Microsoft Defender for Endpoint، SentinelOne یا CrowdStrike برای شناسایی زنجیرههای اجرایی مشکوک .
• ابزارهای پایش یکپارچگی فایل (File Integrity Monitoring) برای رصد تغییرات در فایلهای سیستمی اصلی.
• پایش فراخوانیهای Native API از طریق راهکارهای امنیتی سطح هسته.
• سامانههای SIEM برای جمعآوری و همبستگی لاگها از سراسر سازمان.
واکنش به حادثه (Incident Response)
- ایزولهسازی سریع سیستم درگیر برای جلوگیری از تلاشهای بعدی مهاجم برای بالا بردن سطح دسترسی.
• جمعآوری تصویر حافظه (Memory Dump) از سیستم و اخذ تمامی لاگهای مرتبط.
• تحلیل دقیق فرایندها و کتابخانههای بارگذاریشده برای شناسایی ابزارهای مورد استفاده مهاجم.
• بررسی شبکه برای اطمینان از عدم حرکت جانبی مهاجم به سایر سیستمها.
• ارزیابی میزان اطلاعات افشاشده و شناسایی آسیبهای احتمالی.
• اعمال وصله امنیتی بر روی تمامی سیستمهای آسیبپذیر و پایش برای ریشهکنی کامل تهدید.
• مستندسازی حادثه و بهروزرسانی رویههای پاسخدهی بر اساس درسهای آموختهشده.
جریان حمله (Attack Flow)
همان طور که در شکل ۱ جریان کلی بهرهبرداری از این آسیبپذیری نشان داده شده است, حمله با دسترسی یک مهاجم سطح پایین به سیستم آغاز میشود. او با اجرای یک ابزار تشخیصی، از ضعف امنیتی DWM برای استخراج آدرسهای هسته استفاده کرده و بدین ترتیب پایههای دفاعی سیستم مانند KASLR را دور میزند. این اطلاعات مقدمهای برای مرحله بعدی حمله، یعنی اجرای کد در سطح هسته و تثبیت کامل دسترسی، خواهد بود.
شکل 1: نمودار توالی جریان حمله منطقی برای CVE-2026-20805
اثبات مفهوم (PoC) — کاملاً غیرمخرب
آزمایشگاه تخصصی Vulnerbyte این آسیبپذیری را در یک محیط ایزوله و کنترلشده مورد بررسی قرار داده است (شکل ۲).
- این اثبات مفهوم صرفاً جهت درک بهتر سازوکار حمله و به صورت توصیفی ارائه میشود.
• یک محیط آزمایشگاهی ایزوله با نصب نسخهای از ویندوز (بدون نصب آخرین بهروزرسانیها) آماده شده است.
• یک اسکریپت پایتون (مانند dumper.py) طراحی شده که از طریق فراخوانی Native APIها، اقدام به شمارش و فیلتر دستههای dwm.exe میکند .
• اسکریپت با سطح دسترسی یک کاربر عادی (Non-Admin) اجرا میشود.
• خروجی اسکریپت شامل آدرسهای حافظه هسته (مانند 0xFFFFD58F80C0E5E0) است که نشاندهنده افشای موفق اطلاعات میباشد .
• این فرایند به مهاجم امکان دور زدن KASLR را بدون نیاز به امتیازات بالا میدهد.
• پس از مشاهده این نشتی، وصله امنیتی اعمال شده و آزمایش مجدداً تکرار میشود که در این حالت خروجی فاقد آدرسهای هسته است.
شکل 2: نتیجه اجرای اکسپلویت بر روی این آسیب پذیری
رفع مسئولیت
این گزارش صرفاً با هدف آموزش، تحلیل فنی و ارتقای امنیت سازمانی تهیه شده است. هرگونه استفاده مخرب یا خارج از چارچوبهای قانونی از محتوای آن ممنوع است.
منابع
- https://www.cve.org/CVERecord?id=CVE-2026-20805
- https://nvd.nist.gov/vuln/detail/CVE-2026-20805
- https://cwe.mitre.org/data/definitions/200.html
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20805
- https://github.com/Uzair-Baig0900/CVE-2026-20805-PoC
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Windows Desktop Window Manager (DWM)
CVE-2026-20805 – Information Disclosure via Exposure of Sensitive Data in Desktop Window Manager
Affects
- Microsoft Windows
- Component: Desktop Window Manager (DWM)
- Affected versions depend on Microsoft advisory scope
- Systems where:
- Local users have interactive access
- Desktop Window Manager is active (default on modern Windows versions)
Description
CVE-2026-20805 is an information disclosure vulnerability in the Desktop Window Manager (DWM) component of Microsoft Windows.
The vulnerability results from the exposure of sensitive information to an unauthorized actor due to improper handling or protection of memory or rendering-related data within DWM. An authorized local attacker may exploit this flaw to access information that should not be exposed across user or security boundaries.
While the vulnerability does not allow privilege escalation or remote code execution directly, it may permit an attacker with local access to retrieve sensitive data from memory or graphical buffers.
Attack Vector
Primary Attack Vector:
Local / Authenticated
Attack Scenario:
- An attacker logs into the system with valid credentials.
- The attacker executes a locally controlled process.
- The process interacts with or observes Desktop Window Manager behavior.
- Due to improper isolation or protection of sensitive data, the attacker is able to access information that should not be exposed.
Key Characteristics:
- Requires local authenticated access.
- No remote exploitation.
- No user interaction beyond login.
- Exploitation occurs within the context of the attacker’s existing privileges.
Conditions Increasing Risk:
- Multi-user systems.
- Shared workstations.
- Systems handling sensitive graphical or application data.
- Environments without strong user isolation controls.
Impact
Successful exploitation may allow an attacker to:
- Access sensitive information stored in memory.
- Retrieve data from other user sessions (depending on system configuration).
- Bypass intended confidentiality boundaries.
The vulnerability impacts confidentiality only, with no direct impact on integrity or availability.
Observed Exploitation & Threat Activity
- As of disclosure, there are no confirmed reports of widespread exploitation in the wild.
- Information disclosure vulnerabilities in Windows subsystems have historically been used as:
- Reconnaissance tools,
- Privilege escalation chain components,
- Data exfiltration enablers.
Severity & Metrics
- Severity: Moderate
- Attack Vector: Local
- Privileges Required: Low (authenticated user)
- User Interaction: None
- Impact:
- Confidentiality: High
- Integrity: None
- Availability: None
Relevant CWE:
- CWE-200 – Exposure of Sensitive Information to an Unauthorized Actor
- CWE-284 – Improper Access Control
Patch & Vendor Status
- Microsoft has released security updates addressing CVE-2026-20805.
- Users should apply the latest Windows updates via:
- Windows Update
- Microsoft Update
- Enterprise patch management solutions (WSUS, Intune, SCCM)
Mitigation & Remediation
Immediate Actions
- Apply the latest Microsoft security updates.
- Reboot systems after patch installation.
- Verify update deployment across managed endpoints.
Defense-in-Depth Measures
- Restrict local user account creation.
- Enforce least privilege principles.
- Use endpoint detection and response (EDR) tools.
- Monitor for abnormal local process behavior.
Detection & Monitoring
Indicators of Potential Abuse:
- Unusual local process activity interacting with graphical subsystems.
- Unexpected memory inspection behavior.
- Suspicious inter-process interactions.
Recommended Monitoring:
- Endpoint telemetry (EDR logs).
- Windows Event Logs.
- Process creation and memory access auditing.
Post-Incident Response
If exploitation is suspected:
- Isolate the affected endpoint.
- Preserve memory and process artifacts for forensic analysis.
- Apply security updates if not already deployed.
- Review local user accounts and access controls.
- Assess potential data exposure.
Summary Table
| Category | Details |
|---|---|
| Vulnerability | Information disclosure |
| Component | Desktop Window Manager (DWM) |
| Attack Vector | Local, authenticated user |
| Impact | Confidentiality breach |
| Privileges Required | Low |
| User Interaction | None |
| Severity | Moderate |
References
- Microsoft Security Advisory – CVE-2026-20805
- MITRE CWE-200 – Exposure of Sensitive Information to an Unauthorized Actor
- NVD – CVE-2026-20805
