吳明宜微軟昨日發布二月份 Patch Tuesday 安全更新,修補近 60 個漏洞,其中包括 6 個已公開揭露或遭濫用的零時差漏洞。
這 6 個零時差漏洞細節如下:
-
CVE-2026-21510 (CVSS score: 8.8):Windows SmartScreen 及 Windows Shell 安全提示繞過漏洞,攻擊者可誘使目標使用者開啟惡意連結或捷徑檔案觸發,進而繞過安全防護。
-
CVE-2026-21513 (CVSS score: 8.8):MSHTML Framework 漏洞,誘使使用者開啟惡意 HTML 或 LNK 檔案,可讓攻擊者繞過安全控制並執行程式碼。
-
CVE-2026-21514 (CVSS score: 7.8):攻擊者傳送惡意 Office 檔案,誘使使用者開啟檔案而繞過 Microsoft 365 及 Office 的物件連結與嵌入 (Object Linking and Embedding, OLE) 防護並執行程式碼。
-
CVE-2026-21519 (CVSS score: 7.8):Windows Desktop Windows Manager 中的型態混淆漏洞,藉由使用不相容型態存取資源,造成本機攻擊者提升權限。
-
CVE-2026-21533 (CVSS score: 7.8):Windows Remote Desktop Services 管理不當漏洞,可使攻擊者將權限提升至 SYSTEM 。
-
CVE-2026-21525 (CVSS score: 6.2):Windows Remote Access Connection Manager 的空指標解除參照 (null pointer dereference) 漏洞,成功濫用可造成本機阻斷服務攻擊 (DoS) 。
目前尚未傳出這些漏洞造成大規模災情的消息。但值得注意的是,微軟將 CVE-2026-21510 和 CVE-2026-21514 兩個漏洞的發現歸功於 Google 威脅情報小組 (GTIG) 以及一名匿名研究人員;CVE-2026-21513 則是由微軟和 GTIG 共同發現。
這顯示部分漏洞可能被同一批攻擊者鎖定,或在同一起攻擊事件中受害。 Google 長期追蹤商業間諜軟體開發商、國家資助的進階持續性滲透攻擊 (APT) 駭客和利益導向的網路罪犯,而零時差漏洞攻擊往往是由國家級駭客發動。 CVE-2026-21510 、 CVE-2026-21513 及 CVE-2026-21514 目前皆被標示為「公開揭露」。
此外,CVE-2026-21533 的發現者為 CrowdStrike,CVE-2026-21525 則由 Acros Security 通報。
CrowdStrike 指出,濫用 CVE-2026-21533 的二進位檔案,讓駭客得以利用其控制的金鑰修改服務配置金鑰,進而提升權限,並在管理員群組中加入使用者帳號。該公司雖未說明具體目標或攻擊組織,但操控此濫用二進位檔案的人員,可能近期內會使用或銷售 CVE-2026-21533 的攻擊代碼。
Acros 則是在去年 12 月研究 CVE-2026-21530 時發現了零時差漏洞 CVE-2026-21525,目前尚不知攻擊者身分,但從利用這兩個漏洞的能力研判,應屬於進階駭客。
除了 Windows 和 Office,微軟此次還修補了影響 Azure 、 Windows Defender 、 Exchange Server 、.NET 、 GitHub Copilot 、 Edge 和 Power BI 的漏洞。
來源: SecurityWeek