關閉選單
  1. Home
  2. NEWS最新消息
  3. 漏洞與風險
顯示分類
2026.04.15
漏洞與風險/資安漏洞
權限提升主導了微軟的大規模補丁更新

微軟發布了 165 個 CVE 漏洞的補丁,數量接近創紀錄,其中一個漏洞已被攻擊者積極利用,另一個漏洞雖然已公開,但至今仍未被利用。微軟評估認為,新揭露的19個漏洞更容易被攻擊者利用,因此需要優先修復。與近期趨勢一致,本月修復的漏洞中近60%是權限提升漏洞,其次是遠端程式碼執行(RCE)漏洞和資訊外洩漏洞。

特權提升漏洞百出

Tenable 資深研究工程師 Satnam Narang 在電子郵件評論中表示:「在過去八個月的『補丁星期二』週期中,權限提升漏洞持續佔據主導地位,4 月修復的所有 CVE 中,權限提升漏洞佔比高達 57%,創歷史新高。遠端程式碼執行 (RCE)漏洞已降至僅佔 12%,少於本月的微軟資訊個漏洞。 Narang 補充道,照此速度,微軟到 2026 年可能再次突破單年漏洞揭露 1000 個的里程碑。

攻擊者正在積極利用的零時差漏洞是CVE-2026-32201(CVSS:6.5),這是一個存在於 Microsoft SharePoint Server 中的欺騙漏洞,攻擊者可以利用該漏洞檢視和修改敏感資訊。 Action1 總裁兼聯合創始人 Mike Walters 在聲明中表示,攻擊者可以利用此漏洞在網路上偽造可信任內容或介面。 「透過利用此漏洞,攻擊者可以操縱資訊呈現給使用者的方式,從而誘使用戶信任惡意內容,」Walters 說。 “雖然對數據的直接影響有限,但欺騙用戶的能力使其成為更廣泛攻擊的強大工具。”

另一個零日漏洞(已公開披露,概念驗證可用,但尚未被利用)是 CVE-2026-33825  (CVSS:7.8),它是本月公佈的 90 多個權限提升漏洞之一。該漏洞影響微軟內建的 Defender 反惡意軟體平台。成功利用此漏洞的攻擊者可以獲得受影響設備的系統級權限。微軟表示,已將其 Defender 實例配置為接收自動更新的組織已針對此漏洞進行了修補,只需驗證是否已收到更新即可,無需採取任何其他操作。微軟稱,該漏洞更容易被攻擊者利用。

少數幾個嚴重漏洞

微軟在其大規模修補更新中,僅將其中 8 個漏洞評估為嚴重等級——其餘絕大多數漏洞都被評為中等或「重要」等級。其中一個嚴重漏洞是 CVE-2026-33824 (CVSS:9.8),這是一個未經驗證的遠端程式碼執行 (RCE) 漏洞,存在於 Windows Internet Key Exchange (IKE) 服務擴充功能中。 IKE 是 Windows 的元件,與加密網路連線相關。微軟希望受此漏洞影響的組織立即安裝補丁,或者對於不使用 IKE 的系統,阻止 UDP 連接埠 500 和 4500 上的入站流量。微軟建議:“對於需要使用 IKE 的系統,請配置防火牆規則,僅允許來自已知對等位址的 UDP 連接埠 500 和 4500 上的入站流量。”

CVE-2026-33827(CVSS:8.1)是另一個未經驗證的遠端程式碼執行 (RCE) 漏洞,會影響執行在 TCP/IP 層之上的 Windows 安全隧道和驗證元件。 「如今,真正意義上的遠端 TCP/IP 漏洞已經非常罕見,而 CVE-2026-33827 正是如此,」Reguly 在一份聲明中表示。 “該漏洞的攻擊複雜度被列為高,因為它基於競爭條件以及微軟所謂的‘附加操作’,但即便如此,在 2026 年還能發現這樣的漏洞仍然令人印象深刻。”

CVE-2026-33114  (CVSS 8.4)CVE-2026-33115  (CVSS 8.4) 均為 Microsoft Word 中的遠端程式碼執行 (RCE) 漏洞,微軟將其評為嚴重級別,但認為攻擊者實際利用這些漏洞的可能性較低。同時,微軟認為攻擊者更有可能利用的漏洞包括: CVE-2026-26151 (CVSS 7.1),Windows 桌面中的欺騙漏洞;CVE-2026-26169 (CVSS 6.1),影響 Windows 核心記憶體的資訊外洩漏洞;以及CVE-2026-2790669 (Windows Hello),繞過安全漏洞。

數十個 Edge 和 Chromium 瀏覽器修復

Automox 的高級安全工程師 Mat Lee 重點介紹了微軟本週重新發布的近 80 個 Edge 和 Chromium 補丁,這些補丁是其 2026 年 4 月安全更新的一部分。 Lee 在電子郵件評論中表示:「Edge 和 Chromium 修補程式的部署遠比 SQL Server 或 SharePoint 更新容易得多。無需資料庫遷移,無需停機,也沒有複雜的依賴關係。您可以在幾分鐘內將瀏覽器更新推送至所有設備,使其成為一種低成本、高回報的修補程式目標。」他指出,由於需要修復多達 80 個漏洞,企業不應因為中斷而造成的輕微。

資料來源:https://www.darkreading.com/vulnerabilities-threats/privilege-elevation-dominates-microsoft-patch-update
 
Microsoft 發布最新安全性更新,重點針對高風險的權限提升 (Privilege Elevation) 漏洞進行修補。