微軟於2026年4月15日發布本月例行安全更新(Patch Tuesday),一次性修補多達169個安全漏洞,為史上第二大規模單月修補行動。本次更新涵蓋兩個零時差漏洞,其中SharePoint伺服器偽造漏洞CVE-2026-32201已遭駭客積極利用,美國網路安全暨基礎設施安全局(CISA)已將其列入已知遭利用漏洞(KEV)目錄,要求聯邦機構於4月28日前完成修補。
兩個零時差漏洞
月最受關注的是兩個零時差漏洞,性質各有不同,企業應根據環境優先評估。
第一個:CVE-2026-32201,SharePoint伺服器偽造漏洞,已遭實際利用
CVE-2026-32201是一個影響Microsoft SharePoint Server的偽造漏洞(Spoofing Vulnerability),CVSS評分6.5,源於SharePoint對使用者輸入的驗證不足,允許未經授權的遠端攻擊者透過網路執行偽造攻擊。微軟指出,成功利用此漏洞的攻擊者可讀取部分敏感資訊並竄改已揭露的資料內容,但無法影響資源可用性。
資安廠商Action1總裁Mike Walters表示,攻擊者可利用此漏洞操控SharePoint環境中呈現給使用者的資訊外觀,使員工、合作夥伴或客戶誤信惡意內容。他進一步說明,此漏洞可作為網路釣魚攻擊、未授權資料竄改或社交工程行動的跳板,進而引發更大規模的入侵事件。
目前微軟尚未揭露此漏洞的具體利用方式、攻擊者身份及攻擊規模。由於已確認遭野外利用,CISA已將CVE-2026-32201納入KEV目錄,要求所有聯邦民事行政部門機構須於2026年4月28日前完成修補。使用SharePoint Server的企業應視此為最高優先修補項目。
第二個:CVE-2026-33825,Microsoft Defender提權漏洞,已遭公開揭露
CVE-2026-33825是一個影響Microsoft Defender的本機提權漏洞(Elevation of Privilege,EoP),CVSS評分7.8。此漏洞源於Defender缺乏足夠細緻的存取控制機制,允許已取得系統存取權限的攻擊者將權限提升至本機最高層級。
CVE-2026-33825 漏洞早在官方修補前便已遭公開揭露。一名自稱「Chaotic Eclipse」的不滿研究員,在與微軟漏洞揭露流程溝通破裂後,於2026年4月3日在GitHub上公開了概念驗證(Proof of Concept,PoC)程式碼,外界稱此攻擊手法為「BlueHammer」。
Cyderes研究人員Rahul Ramesh與Reegun Jayapaul解釋,BlueHammer利用Defender更新時產生的臨時磁碟區陰影複本(Volume Shadow Copy),搭配雲端檔案回呼(Cloud Files Callbacks)與機會鎖定(Oplocks)技術,在精確時間點凍結Defender程序,進而存取儲存帳號憑證與系統設定的SAM、SYSTEM及SECURITY登錄檔。成功利用後,攻擊者可讀取SAM資料庫、解密NTLM密碼雜湊值,進而取得本機管理員帳號控制權並產生SYSTEM層級的命令介面,且能在攻擊完成後還原原始密碼雜湊以規避偵測。
微軟已透過Microsoft Defender反惡意軟體平台(Antimalware Platform)更新版本4.18.26030.3011修補此漏洞,且系統預設會自動下載更新,無需使用者手動操作。已停用Microsoft Defender的系統不受此漏洞影響。Action1漏洞研究總監Jack Bicer提醒,此漏洞可與其他漏洞串連使用,一旦攻擊者已在環境中立足,即可利用CVE-2026-33825取得端點完整控制權,進行資料外洩、停用安全工具或在網路內橫向移動。
另一重大威脅:CVSS 9.8的IKE遠端程式碼執行漏洞
除兩個零時差漏洞外,本月嚴重度最高的漏洞為CVE-2026-33824,影響Windows網路金鑰交換(Internet Key Exchange)服務延伸功能,CVSS評分高達9.8。攻擊者無需任何使用者互動,僅需向啟用IKEv2的Windows裝置發送特製封包,即可觸發遠端程式碼執行。由於IKE服務本身需對不受信任的網路開放以提供VPN及IPsec安全通道協商功能,因此對外暴露的IKEv2系統面臨的風險尤為嚴峻。Mike Walters警告,成功利用此漏洞可導致系統完全淪陷,攻擊者可竊取敏感資料、癱瘓營運或在網路內橫向擴散。
整體漏洞趨勢:提權漏洞佔比創新高
從本月漏洞分類來看,169個漏洞中,157個評級為「重要」,8個為「嚴重」,3個為「中等」,1個為「低」。提權漏洞以93個高居各類型之首,佔本月修補總量57%,創下過去八個月的最高比例;遠端程式碼執行漏洞與資訊揭露漏洞各佔21個,並列第二。
Tenable資深研究工程師Satnam Narang指出,以目前的修補速度推算,2026年全年Patch Tuesday的漏洞總數超過1,000個幾乎已成定局,企業安全維運團隊的修補壓力將持續加重。
建議修補優先順序
針對本月更新,建議企業依下列優先順序處理:
- 最優先: CVE-2026-32201(SharePoint Server),已遭利用,需於4月28日前完成修補
- 次優先: CVE-2026-33824(Windows IKE),CVSS 9.8,對外暴露的VPN及IPsec環境風險極高
- 第三優先: CVE-2026-33825(Microsoft Defender),已有公開PoC,Defender平台將自動更新
- 同步處理: Microsoft Office系列(Word、Excel、PowerPoint)多個RCE漏洞,可透過預覽窗格或開啟惡意文件觸發