微软发布补丁修复 SharePoint 零日漏洞及其他 168 个新漏洞

微软周二发布了更新，以解决其产品组合中创纪录的169 个安全漏洞，其中包括一个已被积极利用的漏洞。

在这169个漏洞中，157个被评为重要，8个被评为严重，3个被评为中等，1个被评为低。其中93个漏洞被归类为权限提升漏洞，其次是信息泄露漏洞（21个）、远程代码执行漏洞（21个）、安全功能绕过漏洞（14个）、欺骗漏洞（10个）和拒绝服务漏洞（9个）。

这169个漏洞中还包括四个非微软发布的CVE漏洞，分别影响AMD（CVE-2023-20585）、Node.js（CVE-2026-21637）、Windows安全启动（CVE-2026-25250）和Windows版Git（CVE-2026-32631）。此外，自上个月发布更新以来，基于Chromium内核的Edge浏览器已修复了78个漏洞。

此次发布使其成为有史以来第二大规模的“补丁星期二”，略低于2025年10月创下的纪录，当时微软修复了多达183个安全漏洞。Tenable公司的高级研究工程师Satnam Narang表示：“照此速度，2026年很可能将证实，每年发布1000多个‘补丁星期二’CVE漏洞将成为常态。”

“不仅如此，在过去八个月的‘补丁星期二’周期中，权限提升漏洞仍然占据主导地位，在4月份所有已修复的CVE中占比高达57%，创下历史新高，而远程代码执行（RCE）漏洞则下降到仅占12%，与本月的信息泄露漏洞持平。”

目前已被积极利用的漏洞是CVE-2026-32201（CVSS 评分：6.5），这是一个影响 Microsoft SharePoint Server 的欺骗漏洞。

微软在一份安全公告中表示：“Microsoft Office SharePoint 中不完善的输入验证机制允许未经授权的攻击者通过网络执行欺骗操作。成功利用此漏洞的攻击者可以查看一些敏感信息（机密性），更改已披露的信息（完整性），但无法限制对资源的访问（可用性）。”

虽然该漏洞是在内部发现的，但目前尚不清楚它是如何被利用的，也不清楚是谁在幕后操纵，以及此类活动的规模。

Action1 总裁兼联合创始人 Mike Walters 表示：“微软 SharePoint Server 中的这个零日漏洞是由输入验证不当造成的，攻击者可以利用它通过网络伪造受信任的内容或接口。”

“攻击者利用这一漏洞，可以操纵信息呈现给用户的方式，从而诱骗用户信任恶意内容。虽然对数据的直接影响有限，但欺骗用户的能力使其成为更广泛攻击的强大工具。”

CVE-2026-32201 的积极利用促使美国网络安全和基础设施安全局 (CISA) 将其添加到已知利用漏洞 ( KEV ) 目录中，要求联邦民事行政部门 (FCEB) 机构在 2026 年 4 月 28 日之前修复该缺陷。

另一个值得注意的漏洞是微软Defender中的权限提升漏洞（CVE-2026-33825，CVSS评分：7.8），该漏洞在发布时已被标记为公开已知漏洞。据微软称，该漏洞可能允许授权攻击者利用Defender缺乏足够细粒度的访问控制，在本地提升权限。

微软指出，无需用户操作即可安装 CVE-2026-33825 的更新，因为平台默认会频繁自动更新。已禁用 Microsoft Defender 的系统不会处于可被利用的状态。

虽然微软的公告并未提及公开的漏洞利用代码，但据称该补丁修复了名为BlueHammer 的零日漏洞。该漏洞于 2026 年 4 月 3 日由一位化名为“ Chaotic Eclipse ”的安全研究人员在 GitHub 上分享。此前，由于与微软在漏洞披露流程上的沟通不畅，这位研究人员心怀不满。截至发稿时，访问该公开漏洞利用代码库需要用户登录 GitHub。

据 Cyderes 称，该漏洞利用卷影复制滥用 Microsoft Defender 更新过程，通过将合法的 Windows 功能串联起来，将低权限用户提升到 NT AUTHORITY\SYSTEM 权限。

安全研究人员 Rahul Ramesh 和 Reegun Jayapaul 在本月初解释说： “在某些 Defender 更新和修复工作流程中，Defender 会创建一个临时卷影复制快照。BlueHammer利用 Cloud Files 回调和 oplocks 在恰当的时机暂停 Defender，使快照保持挂载状态，并允许访问 SAM、SYSTEM 和 SECURITY 注册表单元——这些文件通常在运行时会被锁定。”

“成功利用此漏洞后，攻击者可以读取 SAM 数据库、解密 NTLM 密码哈希值、接管本地管理员帐户并生成 SYSTEM 级 shell，同时恢复原始密码哈希值以避免被检测到。”

安全研究员 Will Dormann 在Mastodon 上发帖证实，BlueHammer 漏洞利用程序不再有效，“似乎已通过 CVE-2026-33825 修复”，尽管“该漏洞利用程序的一些可疑部分似乎仍然有效”。

最严重的漏洞之一是影响 Windows Internet 密钥交换 (IKE) 服务扩展的远程代码执行漏洞。该安全缺陷的编号为CVE-2026-33824，CVSS 评分为 9.8 分（满分 10 分）。

Rapid7 的首席软件工程师 Adam Barnett 在一份声明中表示：“攻击者需要向启用了 IKE v2 的 Windows 机器发送特制的数据包才能利用此漏洞，这可能导致远程代码执行。”

“针对现代 Windows 资产的未经身份验证的远程代码执行漏洞相对罕见，否则我们会看到更多蠕虫式漏洞在互联网上自我传播。然而，由于 IKE 提供安全的隧道协商服务（例如用于 VPN），因此它必然会暴露于不受信任的网络中，并且在预授权环境下可以访问。”

沃尔特斯指出，该安全漏洞对企业环境构成严重威胁，尤其是那些依赖 VPN 或 IPsec 进行安全通信的企业环境。成功利用该漏洞可能导致系统完全被攻陷，使不法分子能够窃取敏感数据、扰乱运营或在网络中横向移动。

沃尔特斯补充道：“由于无需用户交互，这种攻击对面向互联网的系统尤其危险。其攻击复杂度低，但对整个系统的影响却很深，因此极易被迅速武器化。运行IKEv2服务的面向互联网的系统尤其容易受到攻击，而延迟部署补丁会增加遭受大规模攻击的风险。”