微软在最新的月度补丁星期二更新中修复了两个零日漏洞,包括.NET中的拒绝服务问题和SQL Server中的权限提升问题,这是安全团队的重点关注事项。
这两个漏洞分别被追踪为CVE-2026-26127和CVE-2026-21262,CVSS评分分别为7.5和8.8,两个漏洞都已经公开披露,但在发布时都没有已知的被利用情况,不过这种情况不会持续太久。
CVE-2026-26127源于.NET中的越界读取条件,使得未经身份验证的攻击者能够通过网络拒绝服务。微软表示,据其估计,这种攻击利用的可能性很小。CVE-2026-21262是由于访问控制不当导致的,只有已经在网络中获得授权的威胁行为者才能利用该漏洞,因此微软表示被利用的可能性较小。
然而,Rapid7高级软件工程师亚当·巴内特认为,在这两种情况下,微软的评估可能低估了这两个漏洞的潜在影响。
巴内特说:"喜欢对.NET应用程序进行低成本拒绝服务攻击的攻击者今天将会关注CVE-2026-26127。微软已经意识到公开披露。虽然攻击利用的直接影响可能仅限于通过触发崩溃来拒绝服务,但在服务重启期间可能会出现其他类型攻击的机会。"
例如,他解释说,如果日志转发器或安全代理受到影响,攻击者可以利用这个漏洞掩盖更具破坏性的攻击,即使他们只是造成停机,这仍然足以导致服务级别协议违约或收入影响,或者如巴内特所指出的,让某人在睡觉时被叫醒。
与此同时,他说,CVE-2026-21262不是"普通的权限提升漏洞"。
巴内特说:"微软已经意识到公开披露,因此虽然他们评估被利用的可能性较小,但对于这个漏洞,耸耸肩推迟打补丁的防御者将是非常大胆的。大多数SQL Server管理员和安全团队多年前就得出结论,将SQL Server直接暴露在互联网上不是一个好主意。话说回来,针对互联网连接设备的流行搜索引擎显示有数万个SQL Server实例,它们不可能都是蜜罐。"
如果攻击者获得SQL Server管理员权限,除了窃取或篡改数据库外,他们还可以针对xp_cmdshell功能——这是一个生成Windows命令shell以执行操作系统命令的存储过程。该功能默认情况下是禁用的,但管理员可以轻松启用,此时攻击者基本上能够以目标实例安全上下文的完整权限进行操作。
关键漏洞引起关注
本月的补丁星期二更新还带来了微软总共8个关键级漏洞,其中3个影响微软ACI机密容器。这组漏洞还包括3个远程代码执行漏洞,其中2个在Microsoft Office中,1个在微软设备定价程序中。
两个Microsoft Office远程代码执行漏洞是CVE-2026-26110和CVE-2026-26113。CVE-2026-26110源于类型混淆问题,应用程序使用不兼容的数据类型访问资源,导致内存处理错误。CVE-2026-26113源于不受信任的指针解引用问题,Office错误地处理内存指针,使攻击者能够操纵应用程序访问内存的方式。
Action1漏洞研究总监杰克·比塞尔说:"生产力软件中的远程代码执行漏洞对组织来说是高风险威胁。如果被利用,攻击者可以控制员工系统,部署勒索软件,窃取敏感文档,或在企业网络中建立持久访问。"
"由于Office文档经常在内部和外部共享,恶意文件可能在组织内快速传播,可能将单个受损系统转变为更广泛网络入侵的入口点。"
比塞尔补充说:"如果无法立即应用安全更新,组织应该在文件资源管理器中禁用预览窗格,并限制从不可信源打开Office文件。实施电子邮件过滤、附件扫描和端点保护监控也可以降低恶意文档传递的风险。"
Q&A
Q1:CVE-2026-26127和CVE-2026-21262是什么漏洞?
A:CVE-2026-26127是.NET中的拒绝服务漏洞,源于越界读取条件,CVSS评分7.5;CVE-2026-21262是SQL Server中的权限提升漏洞,由访问控制不当导致,CVSS评分8.8。两个都是已公开披露的零日漏洞。
Q2:这些漏洞被攻击利用的风险有多大?
A:虽然微软认为攻击利用可能性较小,但安全专家认为微软可能低估了风险。CVE-2026-26127可能被用于低成本拒绝服务攻击,CVE-2026-21262如果被利用,攻击者可获得SQL Server管理员权限,甚至执行操作系统命令。
Q3:如何防护Microsoft Office的远程代码执行漏洞?
A:组织应立即应用安全更新。如果无法立即更新,应禁用文件资源管理器中的预览窗格,限制从不可信源打开Office文件,并实施电子邮件过滤、附件扫描和端点保护监控来降低恶意文档传递风险。
热门跟贴