微軟 7 月修補 622 個漏洞:Windows 用戶同 SharePoint 管理員要先做咩
Tech News

微軟 7 月修補 622 個漏洞:Windows 用戶同 SharePoint 管理員要先做咩

圖片:via iThome — https://www.ithome.com.tw/news/177339
TechLab 編輯部(譯)·

兩個漏洞已有人用嚟攻擊,最趕急係自設 SharePoint Server 同 ADFS

微軟今個月安全更新條清單大到有啲嚇人:官方一口氣列出 622 個 Microsoft CVE,連同重發嘅 Chromium 項目就過千。iThome 報道 同時提到今次破紀錄嘅修補量,同兩個已有人利用嘅漏洞。不過講到實際修補,漏洞總數只係背景。管理自設 SharePoint Server 或 ADFS 嘅 IT 要即刻插隊處理;一般 Windows 用戶按正常節奏裝累積更新,唔代表 622 個漏洞全部落喺同一部電腦,更唔代表每部 PC 都有人攻緊。

622 個,點解仲會見到 576 同 570?

截至 7 月 15 日,最穩陣係跟 微軟 7 月官方 Release Notes:月度範圍有 622 個由 Microsoft 登記嘅 CVE,當中 Windows 類別佔 416 個;官方另外重發 428 個非 Microsoft 嘅 Chromium CVE,加埋先會得出 1,050。576 呢個數,對照官方分類應該係扣起 Edge 類別 46 個之後嘅口徑,呢點屬數字推算;至於 BleepingComputer 嘅 570,佢明講只計 7 月 14 日當日新出嘅修補,月內較早已處理嘅 Azure、Edge 等項目冇計。三個數都有各自定義,標題用 622 最貼近微軟本月官方口徑。

過千個 CVE 唔等於每部 Windows 機中晒

呢份清單橫跨 Windows、Office、Edge、Azure、Defender、Exchange Server、SharePoint Server、SQL Server 同開發工具,仲有 CVE 喺多個產品版本重疊。Windows Update 最終畀某部機嘅係對應版本累積更新,唔使逐個下載 622 份修補。數量暴升亦唔可以直接解讀成 Windows 突然危險三倍;微軟早前解釋,自動化工具成熟、研究員參與增加,同埋工程團隊開始用 AI 搵問題,都令漏洞通報同修補量長線向上。今次要處理嘅更新確實好多,但點排先後,仍然要睇漏洞有冇人利用、服務有冇對外,同埋攻擊門檻。

最趕急係自設 SharePoint Server

CVE-2026-56164 已有人用嚟攻擊。微軟評佢做 Moderate、CVSS 5.3,但攻擊者唔使登入,經網上就可以提升權限;CISA 嘅 KEV 已遭利用漏洞名單 已經收錄呢個漏洞,畀美國聯邦機構嘅期限係 7 月 17 日。呢個三日限期只約束美國聯邦機構,活躍攻擊就冇地域限制。受影響名單係 SharePoint Enterprise Server 2016、SharePoint Server 2019 同 Subscription Edition;純用 Microsoft 365 入面 SharePoint Online 嘅公司,唔屬今次 CVE 公告列明嘅 server 範圍。

SharePoint 要補漏洞,亦要當可能入過侵

CISA 7 月 14 日警告 話攻擊者正串連 CVE-2026-32201、CVE-2026-45659 同新出嘅 CVE-2026-56164,入侵自設 SharePoint,跟住執行程式、偷 IIS machine key,再靠反序列化手法維持存取。管理員要先清點所有對外 SharePoint farm,按版本裝 KB5002891(2016)、KB5002883(2019)或 KB5002882(Subscription Edition),再確認每部 server 更新成功。AMSI 要啟用,Request Body Scan 設做 Full,不過呢個只係臨時減低風險,頂唔到正式修補;如果懷疑已中招,先查 web shell、異常 worker process 同 machine-key 存取痕跡,清走入侵工具後先 rotate key,否則新 key 一樣可能再俾人拎走。

ADFS 裝完更新仲要睇 Event Log

另一個已有人利用嘅 CVE-2026-56155 影響 AD FS,微軟評做 Important、CVSS 7.8。攻擊者要先有本機低權限帳戶,門檻高過 SharePoint 嗰個未登入遠端攻擊;不過 AD FS 管住登入信任,DKM container 權限太鬆會畀人讀到保護 token 簽署私鑰嘅材料,後果可以好大。重點係 7 月 Windows Server 更新淨係開啟 Audit Mode,唔會自動改 ACL。跟 微軟 KB5121391 指引 裝齊所有 AD FS server 後,要睇 AD FS/Admin log:1132 代表 ACL 要處理,1133 代表狀態健康,1134 就係檢查出錯;見到 1132,再按官方步驟測試同啟用 RemediateDkmAcl,唔好以為重新開機就收工。

一般 Windows 用戶照更新,唔使自己嚇自己

如果你只係用 Windows 10/11 PC,今次兩個已遭利用漏洞都唔代表有人可以隔住網上一撳就入你部機:SharePoint 嗰個針對自設 server,AD FS 嗰個又要相關角色同已有本機權限。你要做嘅係入 Windows Update 裝 7 月累積安全更新、重新開機,再返去更新記錄確認成功;Office 同 Edge 亦保持最新。今個月仲有一個公開咗資料嘅 BitLocker 漏洞 CVE-2026-50661,微軟話攻擊者要實體接觸部機先用到,所以手提電腦用戶除咗更新,亦要保持磁碟加密開住、離開座位鎖機,唔好講到似全網大爆發。

公司 IT 今輪點排次序

修補隊列可以直接分三層:對外 SharePoint Server 即日處理,修補、AMSI、log hunting 同 key rotation 一輪做齊;AD FS 緊接處理,Windows Server 更新之後一定睇事件 1132 至 1134,CISA 畀聯邦機構嘅期限係 7 月 28 日;其餘 Windows、Office 同 Edge 裝置按既有測試批次快手推送。學校、公司同機構就算有 Microsoft 365,都要另外查清楚有冇舊 SharePoint farm 或 ADFS 留喺機房,因為資產清單漏咗呢類混合環境,更新平台見唔到就自然推唔到。今輪跟官方 CVE 頁同 KEV 狀態排隊已經夠清楚,唔使俾「過千漏洞」個總數帶住走。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook