微軟於 2026 年 6 月 Patch Tuesday 釋出本年度規模最大的安全性更新,共修補 200 個安全性漏洞,包含 6 個零時差漏洞(Zero-day)。其中
Microsoft Exchange Server 漏洞 CVE-2026-42897 已確認遭駭客在野主動利用,攻擊者僅需發送一封惡意郵件,即可在企業員工的瀏覽器中執行任意 JavaScript 程式碼。台灣企業廣泛採用 Exchange Server 作為企業郵件系統,資安團隊應視此為最高優先修補項目。
Exchange Server 主動遭攻擊,OWA 使用者風險最高
CVE-2026-42897 是本次唯一確認遭攻擊者在野主動利用的漏洞,屬於 Exchange Server 仿冒(Spoofing)類型漏洞。攻擊者透過發送精心構造的惡意郵件,當收件者以 Outlook Web Access(OWA)開啟郵件並觸發特定互動條件後,即可在受害者瀏覽器環境中執行任意 JavaScript 程式碼。
微軟目前尚未完成完整修補程式的開發,現階段透過 Exchange 緊急緩解服務(Exchange Emergency Mitigation Service,EEMS)推送臨時緩解措施。EEMS 預設應為啟用狀態,企業管理員應立即確認服務運作正常,並持續關注微軟後續釋出的完整安全性更新。
BitLocker 加密防線兩度失守,實體安全管控需重新評估
本次修補包含兩個 BitLocker 安全功能繞過漏洞,對使用 Windows 裝置加密保護機密資料的台灣企業與政府機關構成直接威脅。
CVE-2026-45585(對應
研究員公開披露的「YellowKey」漏洞)允許具備實體存取能力的攻擊者,透過在 USB 隨身碟或 EFI 磁區放置特製檔案,於 Windows 復原環境(Windows Recovery Environment,WinRE)中以特定操作取得加密磁碟的完整存取權限。此漏洞主要影響僅採用 TPM 保護的 BitLocker 設定,建議企業改用 TPM 加 PIN 碼的雙重驗證模式以提升防護強度。
CVE-2026-50507(對應近期流傳的「bitskrieg」漏洞)同樣允許本機攻擊者繞過 BitLocker 裝置加密功能。資安研究員 Will Dormann 指出,此次修補程式本身可能導致裝置出現錯誤訊息「A required file couldn't be accessed because your BitLocker key wasn't loaded correctly(必要檔案無法存取,因為您的 BitLocker 金鑰未正確載入)」。若遇此狀況,可在提升權限的命令提示字元中依序執行
reagentc /disable 及
reagentc /enable 指令完成復原。
遠端桌面與 Hyper-V 嚴重漏洞,影響企業虛擬化基礎架構
遠端桌面用戶端(Remote Desktop Client)本次共修補 11 個漏洞,其中 8 個標記為「嚴重」(Critical)等級的遠端程式碼執行漏洞。台灣企業若廣泛使用遠端桌面協定(RDP)進行遠端辦公或伺服器管理,應優先評估修補時程。
Windows Hyper-V 亦修補 3 個嚴重遠端程式碼執行漏洞,分別為 CVE-2026-45641、CVE-2026-47652 及 CVE-2026-45607,影響虛擬化基礎架構的核心安全性,雲端服務供應商及大型企業的虛擬化環境管理員應列為優先處理項目。
六個零時差一次曝光,研究員抗議微軟漏洞賞金制度
本次 6 個零時差漏洞中,5 個屬於公開揭露但尚無官方修補,1 個為主動遭利用。值得關注的是,其中多個漏洞出自同一位資安研究員 Nightmare Eclipse,其公開披露行動被視為對微軟漏洞賞金計畫(Bug Bounty Program)及揭露流程的正式抗議。
延伸閱讀:微軟示警兩個 Microsoft Defender 漏洞遭實際攻擊利用
CVE-2026-45586(Windows 協作翻譯框架 CTFMON 權限提升漏洞,即「GreenPlasma」)可讓本機攻擊者取得 SYSTEM 最高權限。CVE-2020-17103(Windows Cloud Files 迷你篩選器驅動程式權限提升漏洞,即「Mini-Plasma」)則為一個特殊案例,此漏洞最初由 Google Project Zero 研究員 James Forshaw 於 2020 年 9 月回報並完成修補,然而 Nightmare Eclipse 近期公開指出漏洞仍可被利用,微軟建議安裝本次 6 月更新以徹底解決。
CVE-2026-49160(HTTP.sys 阻斷服務漏洞)屬於「HTTP/2 Bomb」攻擊技術,由 Calif.io 資安公司研究員揭露。攻擊者利用 HTTP/2 協定標頭壓縮與流量控制機制的設計缺陷,以極少量的傳輸資料迫使伺服器分配大量記憶體,進而引發服務中斷。微軟除釋出修補程式外,亦引入新的 MaxHeadersCount 登錄設定,讓管理者限制 HTTP/2 及 HTTP/3 請求可接受的標頭數量上限。
本次更新規模與漏洞分布
200 個漏洞中,「嚴重」等級共 33 個,包含遠端程式碼執行 28 個、權限提升 4 個、資訊洩露 1 個。以漏洞類別分布來看,權限提升漏洞 65 個為最大宗,其次為遠端程式碼執行漏洞 55 個、資訊洩露漏洞 30 個、仿冒攻擊(Spoofing)漏洞 27 個、安全功能繞過漏洞 19 個,以及阻斷服務漏洞 7 個。若加計 Google 本月針對 Microsoft Edge 及 Chromium 核心同步修補的 360 個漏洞,本月微軟生態系安全性更新總量已超過 560 個。
本文轉載自 BleepingComputer。