微软4月补丁星期二更新：Defender与SharePoint现零日漏洞

微软于4月14日发布了最新一期月度补丁星期二更新，此次更新包含两个值得高度关注的零日漏洞，涉及问题总数超过160个，若计入第三方及Chromium相关漏洞，总数接近250个。

TrendAI（前身为趋势科技）旗下零日计划的Dustin Childs将此次更新规模形容为"庞大惊人"，认为这可能是有史以来规模最大的补丁星期二更新之一。Childs推测，此次补丁数量激增，或与AI工具发现并提交的漏洞数量持续增加有关。

Action1漏洞研究总监Jack Bicer表示："此次发布的补丁数量之多，加上零日漏洞及多个严重问题的存在，使得本次更新应被列为需立即处理的优先事项。"

两个零日漏洞解析

第一个零日漏洞编号为CVE-2026-32201，属于微软SharePoint Server中的欺骗漏洞，可导致跨站脚本攻击（XSS）。该漏洞已被证实在野外遭到利用，但尚未公开披露。问题根源在于输入验证失败，允许攻击者通过未经正确过滤的输入字段注入恶意脚本。

尽管该漏洞的通用漏洞评分系统（CVSS）评分相对较低，仅为6.5分，但Automox高级安全工程师Mat Lee指出，这一评分低估了实际风险，因为该漏洞无需身份验证或特殊权限即可利用。

Lee表示："外部威胁可直接针对暴露在互联网上的SharePoint实例发起攻击。部署在本地且对外网开放的SharePoint服务器面临最高风险。由于SharePoint通常与后端存储系统、目录服务及内部协作工具相连，一旦XSS漏洞被成功利用，攻击者便可借此深入渗透整个内部环境。"

在一种典型攻击场景中，恶意JavaScript代码可在用户访问被入侵的SharePoint页面时在其浏览器中执行，使攻击者能够窃取会话Cookie或身份验证Token，进而劫持用户账户。此外，XSS立足点还可能被用于实施钓鱼重定向，甚至投放勒索软件等恶意载荷，使CVE-2026-32201成为更大规模攻击活动中的有效工具。

Lee建议安全团队重点关注以下异常情况：对外可访问的SharePoint页面上出现意外脚本执行或iframe注入；来自未知IP地址的会话Token复用或异常身份验证事件；以及用户反映在访问SharePoint页面时遭遇意外重定向或登录提示。

除立即打补丁外，安全团队还应对SharePoint的对外暴露情况进行审计，优先处理可从公网访问的本地实例，同时检查SharePoint实例上的内容安全策略（CSP）标头配置，并对身份验证日志中的异常行为保持持续监控。

第二个零日漏洞编号为CVE-2026-33825，是微软Defender中的一个权限提升（EoP）漏洞。该漏洞已公开披露，但目前尚无被利用的记录。

Action1的Bicer解释称，该漏洞源于访问控制"粒度不足"，导致原本应受限制的访问权限演变为对系统的完全控制。"攻击者只需获得初步立足点，便可迅速将其转化为对整个系统的全面掌控。"

Bicer进一步说明："该漏洞允许拥有低权限的本地攻击者利用不当的权限执行机制，通过利用这一弱点以提升权限执行代码或操作，最终获得系统级访问权限。此类漏洞尤为危险，因为它可以与其他漏洞组合利用，将初始访问权限扩大为对系统的全面控制。"

因此，在攻击者已建立据点的任何环境中，CVE-2026-33825都构成更高风险。一旦被成功利用，攻击者可完全控制组织端点，进而窃取数据、关闭安全工具，并横向移动至更具价值的目标系统。

Bicer警告称："即使拥有强大边界防御的环境，一旦内部系统遭到入侵同样面临风险。目前已有概念验证（PoC）利用代码流出，且漏洞已被公开披露。尽管尚未确认存在主动利用行为，但PoC代码的出现大大增加了现实攻击发生的可能性。"

Chromium浏览器漏洞

4月更新还涵盖了第三个零日漏洞CVE-2026-5281，这是一个影响Chromium浏览器的远程代码执行（RCE）漏洞，由Google Dawn WebGPU中的"释放后使用"条件引发。该漏洞此前已被披露，并于本月初被美国网络安全和基础设施安全局（CISA）纳入已知被利用漏洞（KEV）目录。

Action1现场首席技术官Gene Moody表示，基于浏览器的漏洞是当前最具不对称性、最危险的风险类别之一。

"浏览器漏洞将每位用户都变成了潜在的入侵入口，实际上将攻击面延伸至员工每一次点击的位置。当一个严重的浏览器漏洞被披露时，风险评估的逻辑就会发生根本性改变。"Moody说道。

"浏览器并非静静等待被发现的边缘服务，而是一个全天候解析不可信内容的活跃执行环境。在这种情况下，延迟打补丁等同于明知故犯地让用户在防御力下降的敌对环境中运行。威胁行为者将获取初始访问权限置于首位，而浏览器漏洞之所以极具效果，正是因为它能大幅缩短攻击者与目标之间的距离。"

八个严重级别漏洞

最后，4月补丁星期二更新还包含八个被评定为严重级别的漏洞，按编号顺序列举如下：

CVE-2026-23666：.NET框架中的拒绝服务（DoS）漏洞；

CVE-2026-32157：远程桌面客户端中的RCE漏洞；

CVE-2026-32190：微软Office中的RCE漏洞；

CVE-2026-33114：微软Word中的RCE漏洞；

CVE-2026-33115：微软Word中的RCE漏洞；

CVE-2026-33824：Windows Internet密钥交换（IKE）服务扩展中的RCE漏洞；

CVE-2026-33826：Windows Active Directory（AD）中的RCE漏洞；

CVE-2026-33827：Windows TCP/IP中的RCE漏洞。

Q&A

Q1：CVE-2026-32201漏洞为什么CVSS评分低，但实际风险却被认为被低估了？

A：CVE-2026-32201的CVSS评分为6.5，看似不高，但安全专家指出这低估了真实风险。原因在于该漏洞无需任何身份验证或特殊权限即可被利用，外部攻击者可直接针对暴露在互联网上的SharePoint实例发动攻击。此外，SharePoint通常与后端存储、目录服务及内部协作工具相连，一旦XSS漏洞被利用，攻击者可窃取会话Cookie和身份验证Token，进而深入渗透内部环境，甚至投放勒索软件。

Q2：CVE-2026-33825权限提升漏洞有多危险？

A：CVE-2026-33825是微软Defender中的权限提升漏洞，危险性较高。低权限本地攻击者可利用该漏洞中不当的权限执行机制，最终获得系统级访问权限。更危险的是，该漏洞可与其他漏洞组合使用，将初始立足点扩展为对系统的全面控制。目前已有公开的概念验证代码流出，大幅提升了现实攻击的可能性，建议立即部署补丁。

Q3：此次微软4月补丁星期二更新规模为何如此之大？

A：此次更新涉及超过160个独立漏洞，若计入第三方和Chromium漏洞则接近250个，被业内人士形容为"史上规模最大的补丁星期二更新之一"。TrendAI零日计划的专家推测，本次补丁数量激增与AI工具发现并提交的漏洞数量持续增长密切相关，AI工具正在帮助安全研究人员更高效地挖掘潜在漏洞。