明明微软自己的安全公告里把这枚漏洞标记为“Exploitation Less Likely”,可就在本周三,美国网络安全与基础设施安全局(CISA)偏偏将它塞进了已知被利用漏洞目录(KEV),还逼着联邦民事机构在7月4日前完成修补。是什么让同一个漏洞在厂商和监管者眼中待遇如此分裂?
先看CISA这一方的动作。被加入KEV的漏洞编号CVE-2026-45659,CVSS评分8.8,属于高危。它影响Microsoft SharePoint Server的三个版本:订阅版、2019以及企业版2016。CISA给出的官方说明写得很直白:“Microsoft SharePoint Server contains a deserialization of untrusted data vulnerability which allows an authorized attacker to execute code over a network.”——只要是个经过身份验证的攻击者,就能通过网络远程执行代码。而且微软自己补充,连管理员权限都不需要,站点成员这种最低权限就够。在CISA的视角里,这扇门开得太宽,已经有证据显示有人在实实在在地利用它,那还不赶紧逼着机构打补丁?
轮到微软这边,却有点像在给同一件事“降温”。五月发布补丁的时候,微软虽然在公告里确认了反序列化不可信数据导致的远程代码执行,也承认攻击者利用门槛低,但微软做出的威胁利用评估结论是“Exploitation Less Likely”——利用可能性较低。这五个字母背后是微软内部的威胁情报和攻击指标综合判断:也许看到的概念验证多于真实攻击,也许攻击者还困在某个不易绕过的环境约束里。在厂商眼里,这种“低利用可能性”可能意味着普通企业不必恐慌式地拔网线。
那谁的判断更接近地面的真实?在我看来,这不完全是个技术问题,更是视角问题。厂商的“利用可能性低”常基于全网统计和已知攻击活动的监测体量,而CISA的KEV收录标准很明确:只要发现任何可靠的活跃利用证据,哪怕是小范围定向攻击,都先列入强制修补清单。从这个角度看,CVE-2026-45659恰处在尴尬地带——它是一个权限要求很低、一旦利用就能打入内网的跳板型漏洞。联邦机构里有大量对外协作的SharePoint站点,任何一次“站点成员”账号的泄漏或钓鱼,都可能被瞬间扩大为服务器失守。这或许就是监管者拉响警报的真实心理:等“可能性”真的变高再修,已经晚了。
更值得警惕的背景是,微软上个月才披露的一场“同居”攻击。某个网络里,微软的例行勒索软件调查发现了两组完全没有关联的攻击者,在同一环境中平行操作,各施手段建立持久访问,还刻意混淆应急响应。其中一个被归因到Storm-2603的活动,惯于利用本地部署SharePoint服务器中的已知漏洞投放Warlock勒索软件。这次具体的破门点并不是CVE-2026-45659,而是另一个关键漏洞CVE-2025-11371,影响Gladinet Triofox,CVSS 9.1分。但微软在调查记录里明确提到,攻击者初始尝试时还夹杂了对win.ini、web.config这类文件的探测,暗示可能是在扫描SharePoint系统的本地文件包含点。换句话说,有案底的勒索团伙仍在把SharePoint当作突破口来捅。
钻进网后,Storm-2603的操作手法让人后背发凉。他们用上Velociraptor这种正经的终端取证工具,把恶意活动伪装成管理员例行巡查;同时开通了好几条远程隧道——Cloudflare隧道、Zoho Assist、还有通过Visual Studio Code搭建的SSH连接,等于给后续偷运数据或下发载荷准备了冗余通道。提权环节更是“就地取材”,直接创建新的本地和域管理员账号,并借助有漏洞的驱动“NSecKrnl.sys”动刀终点安全软件,降低自己的被发现几率。与此同时,另一个完全无关的攻击者也栖身同一网络,用DLL侧加载和定制后门干着自己的事。两个团伙互不知情,却共享一套受害基础设施。
把两则消息拼起来看,CISA对CVE-2026-45659的强硬态度就有了更完整的注解。一个权限要求极低、在流行办公平台上可远程利用的反序列化漏洞,就算今天被标注为“利用可能性低”,只要有过哪怕一次真实攻击成功的案例,它就会被勒索团伙或者平行潜伏者改造成稳定的入场券。况且网络攻击的现实一再提醒:不是所有的活跃利用都会立刻被厂商大面监测到,而“不太可能”有时和“已经发生”之间只差一次情报通报。
联邦机构必须在7月4日之前打下补丁,这个时间线倒计时已经开始。对其他人来说,并不需要也被强制规定一个补丁日,但至少该反问自己一句:当厂商对漏洞利用的判断和监管者的动作出现对立信号时,我们是等到利用“确定无疑”的那一刻,还是趁入口还没有被更多攻击者列入例行扫描列表之前,先把门关好。
热门跟贴