Microsoft 二月修補 59 項漏洞　六個零日漏洞遭駭客實際利用

2026 / 02 / 12

編輯部

Microsoft 發布 2026 年 2 月 Patch Tuesday 安全更新，修補共計 59 項安全漏洞，其中包含六個已遭攻擊者實際利用的零日漏洞。美國網路安全暨基礎設施安全局（CISA）已將這六個漏洞全數納入已知遭利用漏洞清單（KEV），要求聯邦機構須於 2026 年 3 月 3 日前完成修補。

本次修補的 59 項漏洞中，5 項被評為重大（Critical）、52 項為重要（Important）、2 項為中度（Moderate）。以漏洞類型區分，權限提升漏洞佔比最高達 25 項，其次為遠端程式碼執行 12 項、欺騙攻擊 7 項、資訊洩露 6 項、安全功能繞過 5 項、阻斷服務 3 項及跨站腳本攻擊 1 項。

三個安全功能繞過漏洞已遭公開揭露

本次修補的六個零日漏洞中，有三個屬於安全功能繞過類型，且在修補釋出前已被公開揭露，企業應優先處理。

CVE-2026-21510 影響 Windows Shell 元件，CVSS 評分 8.8。攻擊者可透過誘騙使用者點擊惡意連結或捷徑檔案，繞過 Windows SmartScreen 與 Shell 安全提示機制，在使用者毫無警覺的情況下執行惡意檔案。

CVE-2026-21513 影響 MSHTML Framework，CVSS 評分 8.8。MSHTML 是 Windows 與多種應用程式用於渲染 HTML 內容的核心元件。Action1 漏洞研究總監 Jack Bicer 指出，經特製的惡意檔案可無聲繞過 Windows 安全提示，僅需單次點擊即可觸發危險動作。攻擊者可透過惡意 HTML 檔案或捷徑檔案（.lnk）發動攻擊。

CVE-2026-21514 影響 Microsoft Word，CVSS 評分 7.8。此漏洞允許攻擊者透過特製的 Office 文件繞過 Microsoft 365 與 Microsoft Office 的 OLE 緩解機制。Tenable 資深研究工程師 Satnam Narang 表示，此漏洞與 CVE-2026-21510 具有高度相似性，主要差異在於 CVE-2026-21514 僅能透過 Office 檔案觸發。

這三個漏洞由 Google Threat Intelligence Group、Microsoft Threat Intelligence Center（MSTIC）、Microsoft Security Response Center（MSRC）、Office 產品安全團隊及一名匿名研究人員共同發現並通報。

兩個權限提升漏洞可取得系統權限

CVE-2026-21519 是 Desktop Window Manager（DWM）的類型混淆（Type Confusion）漏洞，CVSS 評分 7.8。攻擊者可在已入侵的主機上利用此漏洞將權限提升至 SYSTEM 等級。此漏洞由 MSTIC 與 MSRC 通報。

CVE-2026-21533 影響 Windows Remote Desktop Services，CVSS 評分 7.8。CrowdStrike 研究人員發現，攻擊者利用此漏洞的攻擊程式會修改服務組態機碼，將其替換為攻擊者控制的機碼，藉此提升權限並將新帳戶加入 Administrator 群組。

CrowdStrike 威脅情報指出，自 2025 年 12 月 24 日起，已有威脅行為者利用此漏洞針對美國與加拿大的組織發動攻擊。CrowdStrike 反威脅行動負責人 Adam Meyers 警告，隨著 Microsoft 公開揭露此漏洞，持有攻擊程式的威脅行為者與漏洞掮客極可能在近期加速利用或出售這些攻擊工具。

Immersive 網路威脅研究資深總監 Kev Breen 表示，這兩個權限提升漏洞屬於本機攻擊，攻擊者須先取得目標主機的存取權限，可能透過惡意附件、遠端程式碼執行漏洞或橫向移動達成。一旦取得 SYSTEM 權限，攻擊者可停用資安工具、部署惡意程式，甚至取得機密資訊或憑證，進而危及整個網域。

VPN 服務阻斷漏洞恐引發連鎖故障

CVE-2026-21525 是 Windows Remote Access Connection Manager（RasMan）的空指標引用（Null Pointer Dereference）漏洞，CVSS 評分 6.2。此漏洞由 ACROS Security 的 0patch 研究團隊於 2025 年 12 月在調查另一個相關漏洞（CVE-2025-59230）時，於公開惡意程式庫中發現攻擊程式。

Automox 資安經理 Ryan Braunstein 警告，此漏洞雖為阻斷服務類型，但對企業影響不容小覷。攻擊者僅需以一般使用者身分執行小型腳本即可癱瘓 RAS 管理服務，不需任何提升權限。對於採用「fail close」政策的 VPN 環境，服務中斷將導致端點完全失去網路連線，IT 團隊無法遠端修補或執行自動化作業，在大型環境中可能引發需數小時才能解決的連鎖故障。

Braunstein 指出，攻擊者可將此漏洞作為聲東擊西的手段，在 IT 團隊忙於處理大規模連線中斷時，同步對伺服器發動攻擊或竊取資料。建議採用 RRAS（Routing and Remote Access Service）的組織將相關伺服器納入優先修補清單。