微軟于4月14日發(fā)布了最新一期月度補(bǔ)丁星期二更新，此次更新包含兩個(gè)值得高度關(guān)注的零日漏洞，涉及問(wèn)題總數(shù)超過(guò)160個(gè)，若計(jì)入第三方及Chromium相關(guān)漏洞，總數(shù)接近250個(gè)。

TrendAI（前身為趨勢(shì)科技）旗下零日計(jì)劃的Dustin Childs將此次更新規(guī)模形容為"龐大驚人"，認(rèn)為這可能是有史以來(lái)規(guī)模最大的補(bǔ)丁星期二更新之一。Childs推測(cè)，此次補(bǔ)丁數(shù)量激增，或與AI工具發(fā)現(xiàn)并提交的漏洞數(shù)量持續(xù)增加有關(guān)。

Action1漏洞研究總監(jiān)Jack Bicer表示："此次發(fā)布的補(bǔ)丁數(shù)量之多，加上零日漏洞及多個(gè)嚴(yán)重問(wèn)題的存在，使得本次更新應(yīng)被列為需立即處理的優(yōu)先事項(xiàng)。"

兩個(gè)零日漏洞解析

第一個(gè)零日漏洞編號(hào)為CVE-2026-32201，屬于微軟SharePoint Server中的欺騙漏洞，可導(dǎo)致跨站腳本攻擊（XSS）。該漏洞已被證實(shí)在野外遭到利用，但尚未公開(kāi)披露。問(wèn)題根源在于輸入驗(yàn)證失敗，允許攻擊者通過(guò)未經(jīng)正確過(guò)濾的輸入字段注入惡意腳本。

盡管該漏洞的通用漏洞評(píng)分系統(tǒng)（CVSS）評(píng)分相對(duì)較低，僅為6.5分，但Automox高級(jí)安全工程師Mat Lee指出，這一評(píng)分低估了實(shí)際風(fēng)險(xiǎn)，因?yàn)樵撀┒礋o(wú)需身份驗(yàn)證或特殊權(quán)限即可利用。

Lee表示："外部威脅可直接針對(duì)暴露在互聯(lián)網(wǎng)上的SharePoint實(shí)例發(fā)起攻擊。部署在本地且對(duì)外網(wǎng)開(kāi)放的SharePoint服務(wù)器面臨最高風(fēng)險(xiǎn)。由于SharePoint通常與后端存儲(chǔ)系統(tǒng)、目錄服務(wù)及內(nèi)部協(xié)作工具相連，一旦XSS漏洞被成功利用，攻擊者便可借此深入滲透整個(gè)內(nèi)部環(huán)境。"

在一種典型攻擊場(chǎng)景中，惡意JavaScript代碼可在用戶訪問(wèn)被入侵的SharePoint頁(yè)面時(shí)在其瀏覽器中執(zhí)行，使攻擊者能夠竊取會(huì)話Cookie或身份驗(yàn)證Token，進(jìn)而劫持用戶賬戶。此外，XSS立足點(diǎn)還可能被用于實(shí)施釣魚(yú)重定向，甚至投放勒索軟件等惡意載荷，使CVE-2026-32201成為更大規(guī)模攻擊活動(dòng)中的有效工具。

Lee建議安全團(tuán)隊(duì)重點(diǎn)關(guān)注以下異常情況：對(duì)外可訪問(wèn)的SharePoint頁(yè)面上出現(xiàn)意外腳本執(zhí)行或iframe注入；來(lái)自未知IP地址的會(huì)話Token復(fù)用或異常身份驗(yàn)證事件；以及用戶反映在訪問(wèn)SharePoint頁(yè)面時(shí)遭遇意外重定向或登錄提示。

除立即打補(bǔ)丁外，安全團(tuán)隊(duì)還應(yīng)對(duì)SharePoint的對(duì)外暴露情況進(jìn)行審計(jì)，優(yōu)先處理可從公網(wǎng)訪問(wèn)的本地實(shí)例，同時(shí)檢查SharePoint實(shí)例上的內(nèi)容安全策略（CSP）標(biāo)頭配置，并對(duì)身份驗(yàn)證日志中的異常行為保持持續(xù)監(jiān)控。

第二個(gè)零日漏洞編號(hào)為CVE-2026-33825，是微軟Defender中的一個(gè)權(quán)限提升（EoP）漏洞。該漏洞已公開(kāi)披露，但目前尚無(wú)被利用的記錄。

Action1的Bicer解釋稱，該漏洞源于訪問(wèn)控制"粒度不足"，導(dǎo)致原本應(yīng)受限制的訪問(wèn)權(quán)限演變?yōu)閷?duì)系統(tǒng)的完全控制。"攻擊者只需獲得初步立足點(diǎn)，便可迅速將其轉(zhuǎn)化為對(duì)整個(gè)系統(tǒng)的全面掌控。"

Bicer進(jìn)一步說(shuō)明："該漏洞允許擁有低權(quán)限的本地攻擊者利用不當(dāng)?shù)臋?quán)限執(zhí)行機(jī)制，通過(guò)利用這一弱點(diǎn)以提升權(quán)限執(zhí)行代碼或操作，最終獲得系統(tǒng)級(jí)訪問(wèn)權(quán)限。此類漏洞尤為危險(xiǎn)，因?yàn)樗梢耘c其他漏洞組合利用，將初始訪問(wèn)權(quán)限擴(kuò)大為對(duì)系統(tǒng)的全面控制。"

因此，在攻擊者已建立據(jù)點(diǎn)的任何環(huán)境中，CVE-2026-33825都構(gòu)成更高風(fēng)險(xiǎn)。一旦被成功利用，攻擊者可完全控制組織端點(diǎn)，進(jìn)而竊取數(shù)據(jù)、關(guān)閉安全工具，并橫向移動(dòng)至更具價(jià)值的目標(biāo)系統(tǒng)。

Bicer警告稱："即使擁有強(qiáng)大邊界防御的環(huán)境，一旦內(nèi)部系統(tǒng)遭到入侵同樣面臨風(fēng)險(xiǎn)。目前已有概念驗(yàn)證（PoC）利用代碼流出，且漏洞已被公開(kāi)披露。盡管尚未確認(rèn)存在主動(dòng)利用行為，但PoC代碼的出現(xiàn)大大增加了現(xiàn)實(shí)攻擊發(fā)生的可能性。"

Chromium瀏覽器漏洞

4月更新還涵蓋了第三個(gè)零日漏洞CVE-2026-5281，這是一個(gè)影響Chromium瀏覽器的遠(yuǎn)程代碼執(zhí)行（RCE）漏洞，由Google Dawn WebGPU中的"釋放后使用"條件引發(fā)。該漏洞此前已被披露，并于本月初被美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）納入已知被利用漏洞（KEV）目錄。

Action1現(xiàn)場(chǎng)首席技術(shù)官Gene Moody表示，基于瀏覽器的漏洞是當(dāng)前最具不對(duì)稱性、最危險(xiǎn)的風(fēng)險(xiǎn)類別之一。

"瀏覽器漏洞將每位用戶都變成了潛在的入侵入口，實(shí)際上將攻擊面延伸至員工每一次點(diǎn)擊的位置。當(dāng)一個(gè)嚴(yán)重的瀏覽器漏洞被披露時(shí)，風(fēng)險(xiǎn)評(píng)估的邏輯就會(huì)發(fā)生根本性改變。"Moody說(shuō)道。

"瀏覽器并非靜靜等待被發(fā)現(xiàn)的邊緣服務(wù)，而是一個(gè)全天候解析不可信內(nèi)容的活躍執(zhí)行環(huán)境。在這種情況下，延遲打補(bǔ)丁等同于明知故犯地讓用戶在防御力下降的敵對(duì)環(huán)境中運(yùn)行。威脅行為者將獲取初始訪問(wèn)權(quán)限置于首位，而瀏覽器漏洞之所以極具效果，正是因?yàn)樗艽蠓s短攻擊者與目標(biāo)之間的距離。"

八個(gè)嚴(yán)重級(jí)別漏洞

最后，4月補(bǔ)丁星期二更新還包含八個(gè)被評(píng)定為嚴(yán)重級(jí)別的漏洞，按編號(hào)順序列舉如下：

CVE-2026-23666：.NET框架中的拒絕服務(wù)（DoS）漏洞；

CVE-2026-32157：遠(yuǎn)程桌面客戶端中的RCE漏洞；

CVE-2026-32190：微軟Office中的RCE漏洞；

CVE-2026-33114：微軟Word中的RCE漏洞；

CVE-2026-33115：微軟Word中的RCE漏洞；

CVE-2026-33824：Windows Internet密鑰交換（IKE）服務(wù)擴(kuò)展中的RCE漏洞；

CVE-2026-33826：Windows Active Directory（AD）中的RCE漏洞；

CVE-2026-33827：Windows TCP/IP中的RCE漏洞。

Q&A

Q1：CVE-2026-32201漏洞為什么CVSS評(píng)分低，但實(shí)際風(fēng)險(xiǎn)卻被認(rèn)為被低估了？

A：CVE-2026-32201的CVSS評(píng)分為6.5，看似不高，但安全專家指出這低估了真實(shí)風(fēng)險(xiǎn)。原因在于該漏洞無(wú)需任何身份驗(yàn)證或特殊權(quán)限即可被利用，外部攻擊者可直接針對(duì)暴露在互聯(lián)網(wǎng)上的SharePoint實(shí)例發(fā)動(dòng)攻擊。此外，SharePoint通常與后端存儲(chǔ)、目錄服務(wù)及內(nèi)部協(xié)作工具相連，一旦XSS漏洞被利用，攻擊者可竊取會(huì)話Cookie和身份驗(yàn)證Token，進(jìn)而深入滲透內(nèi)部環(huán)境，甚至投放勒索軟件。

Q2：CVE-2026-33825權(quán)限提升漏洞有多危險(xiǎn)？

A：CVE-2026-33825是微軟Defender中的權(quán)限提升漏洞，危險(xiǎn)性較高。低權(quán)限本地攻擊者可利用該漏洞中不當(dāng)?shù)臋?quán)限執(zhí)行機(jī)制，最終獲得系統(tǒng)級(jí)訪問(wèn)權(quán)限。更危險(xiǎn)的是，該漏洞可與其他漏洞組合使用，將初始立足點(diǎn)擴(kuò)展為對(duì)系統(tǒng)的全面控制。目前已有公開(kāi)的概念驗(yàn)證代碼流出，大幅提升了現(xiàn)實(shí)攻擊的可能性，建議立即部署補(bǔ)丁。

Q3：此次微軟4月補(bǔ)丁星期二更新規(guī)模為何如此之大？

A：此次更新涉及超過(guò)160個(gè)獨(dú)立漏洞，若計(jì)入第三方和Chromium漏洞則接近250個(gè)，被業(yè)內(nèi)人士形容為"史上規(guī)模最大的補(bǔ)丁星期二更新之一"。TrendAI零日計(jì)劃的專家推測(cè)，本次補(bǔ)丁數(shù)量激增與AI工具發(fā)現(xiàn)并提交的漏洞數(shù)量持續(xù)增長(zhǎng)密切相關(guān)，AI工具正在幫助安全研究人員更高效地挖掘潛在漏洞。