微软修复.NET和SQL Server中的零日漏洞

微软在最新的月度补丁星期二更新中修复了两个零日漏洞，包括.NET中的拒绝服务问题和SQL Server中的权限提升问题，这是安全团队的重点关注事项。

这两个漏洞分别被追踪为CVE-2026-26127和CVE-2026-21262，CVSS评分分别为7.5和8.8，两个漏洞都已经公开披露，但在发布时都没有已知的被利用情况，不过这种情况不会持续太久。

CVE-2026-26127源于.NET中的越界读取条件，使得未经身份验证的攻击者能够通过网络拒绝服务。微软表示，据其估计，这种攻击利用的可能性很小。CVE-2026-21262是由于访问控制不当导致的，只有已经在网络中获得授权的威胁行为者才能利用该漏洞，因此微软表示被利用的可能性较小。

然而，Rapid7高级软件工程师亚当·巴内特认为，在这两种情况下，微软的评估可能低估了这两个漏洞的潜在影响。

巴内特说："喜欢对.NET应用程序进行低成本拒绝服务攻击的攻击者今天将会关注CVE-2026-26127。微软已经意识到公开披露。虽然攻击利用的直接影响可能仅限于通过触发崩溃来拒绝服务，但在服务重启期间可能会出现其他类型攻击的机会。"

例如，他解释说，如果日志转发器或安全代理受到影响，攻击者可以利用这个漏洞掩盖更具破坏性的攻击，即使他们只是造成停机，这仍然足以导致服务级别协议违约或收入影响，或者如巴内特所指出的，让某人在睡觉时被叫醒。

与此同时，他说，CVE-2026-21262不是"普通的权限提升漏洞"。

巴内特说："微软已经意识到公开披露，因此虽然他们评估被利用的可能性较小，但对于这个漏洞，耸耸肩推迟打补丁的防御者将是非常大胆的。大多数SQL Server管理员和安全团队多年前就得出结论，将SQL Server直接暴露在互联网上不是一个好主意。话说回来，针对互联网连接设备的流行搜索引擎显示有数万个SQL Server实例，它们不可能都是蜜罐。"

如果攻击者获得SQL Server管理员权限，除了窃取或篡改数据库外，他们还可以针对xp_cmdshell功能——这是一个生成Windows命令shell以执行操作系统命令的存储过程。该功能默认情况下是禁用的，但管理员可以轻松启用，此时攻击者基本上能够以目标实例安全上下文的完整权限进行操作。

关键漏洞引起关注

本月的补丁星期二更新还带来了微软总共8个关键级漏洞，其中3个影响微软ACI机密容器。这组漏洞还包括3个远程代码执行漏洞，其中2个在Microsoft Office中，1个在微软设备定价程序中。

两个Microsoft Office远程代码执行漏洞是CVE-2026-26110和CVE-2026-26113。CVE-2026-26110源于类型混淆问题，应用程序使用不兼容的数据类型访问资源，导致内存处理错误。CVE-2026-26113源于不受信任的指针解引用问题，Office错误地处理内存指针，使攻击者能够操纵应用程序访问内存的方式。

Action1漏洞研究总监杰克·比塞尔说："生产力软件中的远程代码执行漏洞对组织来说是高风险威胁。如果被利用，攻击者可以控制员工系统，部署勒索软件，窃取敏感文档，或在企业网络中建立持久访问。"

"由于Office文档经常在内部和外部共享，恶意文件可能在组织内快速传播，可能将单个受损系统转变为更广泛网络入侵的入口点。"

比塞尔补充说："如果无法立即应用安全更新，组织应该在文件资源管理器中禁用预览窗格，并限制从不可信源打开Office文件。实施电子邮件过滤、附件扫描和端点保护监控也可以降低恶意文档传递的风险。"

Q&A

Q1：CVE-2026-26127和CVE-2026-21262是什么漏洞？

A：CVE-2026-26127是.NET中的拒绝服务漏洞，源于越界读取条件，CVSS评分7.5；CVE-2026-21262是SQL Server中的权限提升漏洞，由访问控制不当导致，CVSS评分8.8。两个都是已公开披露的零日漏洞。

Q2：这些漏洞被攻击利用的风险有多大？

A：虽然微软认为攻击利用可能性较小，但安全专家认为微软可能低估了风险。CVE-2026-26127可能被用于低成本拒绝服务攻击，CVE-2026-21262如果被利用，攻击者可获得SQL Server管理员权限，甚至执行操作系统命令。

Q3：如何防护Microsoft Office的远程代码执行漏洞？

A：组织应立即应用安全更新。如果无法立即更新，应禁用文件资源管理器中的预览窗格，限制从不可信源打开Office文件，并实施电子邮件过滤、附件扫描和端点保护监控来降低恶意文档传递风险。