Al Patch Tuesday de gener de 2026, Microsoft va corregir CVE-2026-20854, una vulnerabilitat d’execució remota de codi (RCE) classificada com a crítica al servei Local Security Authority Subsystem Service (LSASS) de Windows. És una de les sis errades RCE crítiques que la companyia va resoldre en la seva primera actualització mensual de l’any, dins d’un lot que va abordar més d’un centenar de vulnerabilitats.
Què és la vulnerabilitat
Segons la National Vulnerability Database (NVD), es tracta d’un use-after-free (CWE-416): una porció de memòria que ja ha estat alliberada es torna a utilitzar, cosa que pot provocar corrupció de memòria i, en el pitjor cas, l’execució de codi arbitrari. L’errada resideix a LSASS, el procés de Windows responsable d’aplicar les polítiques de seguretat del sistema, validar els inicis de sessió i gestionar l’autenticació i els tokens d’accés. Comprometre aquest component és especialment sensible, perquè LSASS gestiona credencials i és un objectiu històric dels atacants per robar hashes i secrets.
El vector CVSS 3.1 assignat és AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H, amb una puntuació base de 7.5 (alta). A la pràctica, això significa que l’atac es fa a través de la xarxa (AV:N), no requereix interacció de la víctima (UI:N) i necessita que l’atacant disposi de privilegis baixos al sistema (PR:L). L’alta complexitat d’atac (AC:H) implica que s’han de donar certes condicions per explotar-lo de manera fiable, cosa que redueix una mica la probabilitat d’explotació massiva però no elimina el risc. L’impacte és total en confidencialitat, integritat i disponibilitat.
A qui afecta
Les versions afectades confirmades per NVD són:
- Windows 11 versió 24H2 (anteriors a la build 10.0.26100.7623)
- Windows 11 versió 25H2 (anteriors a la build 10.0.26200.7623)
- Windows Server 2025 i la seva instal·lació Server Core (anteriors a la build 10.0.26100.32230)
Els entorns de servidor són els més exposats: un controlador de domini o un servidor d’autenticació compromès a través de LSASS pot donar a un atacant un punt de suport molt valuós per a moviments laterals dins d’una xarxa corporativa.
Gravetat i estat d’explotació
Microsoft va qualificar l’errada com a crítica dins del conjunt de RCE del mes. En el moment de la publicació del pedaç no s’havia documentat explotació activa d’aquesta CVE concreta (a diferència del zero-day CVE-2026-20805 del mateix Patch Tuesday), però la seva naturalesa —RCE en un component d’autenticació accessible per xarxa— justifica un pedaç prioritari.
Mitigació i pedaç
L’única solució recomanada és aplicar les actualitzacions acumulatives de gener de 2026 a través de Windows Update o WSUS/SCCM, instal·lant com a mínim les builds indicades més amunt. No hi ha mitigació alternativa equivalent al pedaç per a un use-after-free d’aquest tipus. Com a bones pràctiques complementàries convé:
- Restringir l’accés de xarxa als servidors i limitar els comptes amb privilegis.
- Habilitar proteccions de credencials com ara Credential Guard i la protecció addicional de LSASS (RunAsPPL / LSA protection), que dificulten l’abús del procés.
- Segmentar la xarxa per reduir la superfície d’exposició dels controladors de domini.
Per a administradors que gestionen flotes mixtes Linux i Windows, aquest cas recorda la importància d’aïllar i endurir els serveis d’autenticació. Si treballes amb controls d’accés obligatori a Linux, et pot interessar la nostra guia sobre SELinux i AppArmor.
Si administres Windows Server, revisa la fitxa de Windows Server per conèixer el seu cicle de vida i versions suportades.