微软确认SharePoint Server关键零日漏洞遭活跃攻击(CVE-2026-32201)
看雪学苑 2026-04-15 17:59 上海
SharePoint 0-Day漏洞已利用,速更补丁
2026年4月14日,微软在月度安全更新周期中正式确认,其SharePoint Server存在一个高危零日欺骗漏洞,该漏洞目前已在野外被威胁 actors 主动利用,对企业部署的SharePoint服务器构成显著安全风险。
该漏洞追踪编号为CVE-2026-32201,影响多个版本的SharePoint Server,微软为其分配的CVSS基础评分为6.5(重要级别),结合官方修复程序已发布的情况,调整后的时间评分为6.0。从技术层面来看,该漏洞根源在于Microsoft Office SharePoint的输入验证不当(CWE-20),这一缺陷使得未授权远程攻击者可通过网络发起欺骗攻击。
从攻击特性来看,该漏洞的攻击向量为网络,攻击复杂度低,且无需攻击者具备任何权限,也无需用户交互即可发起攻击,为威胁 actors 针对企业SharePoint部署发起攻击提供了低门槛入口。根据微软安全公告,攻击者成功利用该漏洞后,可查看部分敏感信息并篡改已泄露数据,但不会影响目标资源的可用性。
值得注意的是,尽管该漏洞对机密性和完整性的单独影响评级为低,但结合“无需认证即可攻击”及“已确认被主动利用”两大特点,其实际落地风险被大幅提升。微软公告明确标注该漏洞为“已检测到利用”,意味着在补丁发布前,野外已出现真实攻击行为;同时,漏洞利用代码已具备可操作性,且相关报告可信度为“确认”,这也使得该漏洞成为企业补丁更新的首要优先级。
据悉,该漏洞在微软发布补丁前未被公开披露,推测威胁 actors 已将其武器化为真正的零日漏洞,在协同披露完成前便发起了攻击。针对这一情况,微软已于4月14日同步发布了三个受影响SharePoint Server版本的安全更新,具体对应如下:
SharePoint Server Subscription Edition — KB5002853,版本号16.0.19725.20210
SharePoint Server 2019 — KB5002854,版本号16.0.10417.20114
SharePoint Enterprise Server 2016 — KB5002861,版本号16.0.5548.1003
微软明确要求所有受影响产品的用户必须采取行动,鉴于该漏洞已被确认在野外利用,企业应将这些更新视为紧急补丁,立即部署安装。同时,微软给出以下应急防护建议,供技术人员参考执行:
立即为所有受影响的SharePoint Server版本安装对应安全更新;
审计SharePoint Server访问日志,排查异常的网络欺骗行为及异常认证模式;
在补丁安装完成前,尽可能限制面向外部的SharePoint实例访问;
监控威胁情报源,关注与该漏洞主动利用相关的入侵指标(IOCs);
确保SharePoint Server实例未直接暴露在互联网中,需配备WAF规则、网络分段等多层防御措施。
作为全球应用最广泛的企业协作平台之一,SharePoint Server一直是国家级攻击者和经济动机威胁组织的高价值目标。协作工具中的欺骗漏洞,往往会被攻击者用作横向移动、凭证窃取或商业邮件妥协(BEC)类攻击的初始立足点。
微软特别提醒,运行本地SharePoint部署的企业,尤其是仍在使用2016或2019版本的组织,需优先处理该补丁更新,避免因漏洞被利用造成数据泄露或系统受损。
资讯来源:Microsoft 2026年4月14日月度安全更新公告
﹀
﹀
﹀
球分享
球点赞
球在看