CISA於近日分兩批更新KEV目錄。4月23日,CISA將Microsoft Defender權限提升漏洞CVE-2026-33825列入清單,要求聯邦機構於兩週內完成修補,截止日期為5月7日。同日稍早,
CISA另新增四個漏洞,影響SimpleHelp、Samsung MagicINFO 9 Server及D-Link DIR-823X系列路由器,修補或停用期限為5月8日。
KEV目錄是CISA針對已確認遭到實際攻擊利用的漏洞所建立的強制修補清單,雖主要規範聯邦機構,但資安業界普遍將其視為全球企業優先修補的重要參考指標。
Microsoft Defender零時差漏洞遭實際攻擊,俄羅斯IP現蹤
CVE-2026-33825(CVSS評分尚未標準化揭露)是一個存在於Microsoft Defender的高嚴重性權限提升漏洞,攻擊者只需具備本機低權限帳號,即可利用存取控制粒度不足的弱點,將權限提升至SYSTEM層級。
Microsoft已於4月14日的Patch Tuesday例行更新中發布修補程式。然而,事件起源頗具爭議:資安研究員「Chaotic Eclipse」因不滿Microsoft安全回應中心(MSRC)處理漏洞揭露流程的方式,於修補前一週主動公開概念驗證(PoC)漏洞利用程式碼,並將此漏洞命名為「BlueHammer」。同時,該研究員另揭露兩個相關漏洞「RedSun」與「UnDefend」,後者可讓一般使用者阻斷Defender定義更新。
Huntress Labs於4月16日發布報告,確認攻擊者已在實際環境中利用上述零時差漏洞,並發現具有「鍵盤操作型威脅行為者(hands-on-keyboard threat actor)」的入侵痕跡。Huntress指出,
攻擊活動涉及可疑的FortiGate SSL VPN存取,來源IP地理位置指向俄羅斯,並觀察到其他地區的可疑基礎設施,顯示此次事件屬於更大規模入侵行動的一部分,而非單純的PoC測試。
SimpleHelp兩大漏洞與勒索軟體攻擊鏈掛勾
針對遠端支援工具SimpleHelp,CISA此次新增兩個漏洞:
- CVE-2024-57726(CVSS 9.9):授權缺失漏洞,低權限技術人員可藉此建立具過度權限的API金鑰,進而提升至伺服器管理員角色。
- CVE-2024-57728(CVSS 7.2):路徑遍歷(path traversal)漏洞,管理員用戶可上傳經特製的ZIP壓縮檔(即zip slip攻擊手法),將任意檔案寫入伺服器檔案系統任意位置,進而執行任意程式碼。
雖然KEV目錄中兩個漏洞的「已知用於勒索軟體攻擊」欄位標記為「不明」,但資安廠商Field Effect與Sophos的研究報告早已揭露,上述漏洞曾被用作勒索軟體攻擊的前置手段,其中一起攻擊活動被歸因於DragonForce勒索軟體組織。
Samsung MagicINFO與D-Link路由器分別遭Mirai殭屍網路利用
CVE-2024-7399(CVSS 8.8)影響Samsung MagicINFO 9 Server,這是一個路徑遍歷漏洞,可讓攻擊者以系統權限(system authority)寫入任意檔案。該漏洞的利用活動已與部署Mirai殭屍網路的惡意行為掛勾。
CVE-2025-29635(CVSS 7.5)則影響已達產品生命週期終止(EoL)的D-Link DIR-823X系列路由器。這是一個指令注入(command injection)漏洞,攻擊者可透過向/goform/set_prohibiting端點發送POST請求,在遠端裝置執行任意指令。Akamai SIRT於2026年3月偵測到針對此漏洞的主動攻擊活動,攻擊者藉此植入名為**「tuxnokill」**的Mirai變種惡意程式,支援多種硬體架構,具備TCP SYN/ACK/STOMP、UDP洪水攻擊及HTTP null等多種分散式阻斷服務(DDoS)攻擊能力。
由於D-Link DIR-823X系列已於2024年11月正式停產,廠商不會為此漏洞提供修補程式,CISA已明確要求相關機構停止使用該設備。
修補行動建議
面對上述威脅,資安人建議企業與IT團隊採取以下行動:
- Microsoft Defender(CVE-2026-33825): 立即套用4月14日Patch Tuesday更新。
- SimpleHelp(CVE-2024-57726、CVE-2024-57728): 依廠商指引更新至最新版本,並審查現有API金鑰權限設定。
- Samsung MagicINFO 9 Server(CVE-2024-7399): 套用廠商安全更新,限制伺服器對外存取。
- D-Link DIR-823X(CVE-2025-29635): 由於設備已停產且無修補程式,應立即汰換為仍受廠商支援的新型號;若短期無法汰換,應停用遠端管理介面、更換預設管理員密碼,並密切監控設備配置異動。