微软在2026年4月的月度安全更新中确认,SharePoint Server存在一个关键的0Day欺骗漏洞(CVE-2026-32201)正遭在野利用。该漏洞影响多个SharePoint Server版本,CVSS基础评分为6.5(重要级),考虑到官方补丁已发布,调整后的时序评分降至6.0。
漏洞技术细节
该漏洞源于Microsoft Office SharePoint的输入验证缺陷(CWE-20),允许未经认证的远程攻击者通过网络实施欺骗攻击。其攻击向量被归类为网络传播,攻击复杂度低,且无需特权或用户交互,为企业SharePoint部署提供了低门槛的攻击入口。
微软公告指出,成功利用该漏洞可能导致攻击者查看部分敏感信息并篡改公开数据,但不会影响目标资源的可用性。尽管对机密性和完整性的单独影响评级为"低",但由于无需认证且存在在野利用,实际风险显著提升。
在野利用态势
微软安全公告将该漏洞标记为"已检测到利用",意味着补丁发布前已观测到实际攻击活动。漏洞利用代码成熟度标记为"功能性",报告可信度确认为"已证实",这一组合使该漏洞成为企业修补优先级之首。
该漏洞在微软发布补丁前未公开披露,表明威胁行为者可能已将其武器化为真正的0Day漏洞。微软已为所有三个受影响版本发布安全更新:
- SharePoint Server订阅版------KB5002853(Build 16.0.19725.20210)
- SharePoint Server 2019------KB5002854(Build 16.0.10417.20114)
- SharePoint Enterprise Server 2016------KB5002861(Build 16.0.5548.1003)
应急响应建议
鉴于漏洞已遭在野利用,企业应将以下更新视为紧急修补:
- 立即为所有受影响SharePoint Server版本安装相应安全更新
- 审计SharePoint Server访问日志,排查异常网络欺骗活动或认证模式
- 在应用补丁前尽可能限制面向外部的SharePoint实例
- 监控威胁情报源,获取与在野利用活动相关的入侵指标(IOCs)
- 确保未部署WAF规则或网络分段等额外防御措施的SharePoint实例不直接暴露于互联网
作为全球部署最广泛的企业协作平台之一,SharePoint Server始终是国家背景黑客和牟利型威胁组织的高价值目标。协作工具中的欺骗漏洞常被用作横向移动、凭证窃取或商业邮件入侵攻击的初始立足点。
微软特别强调,运行本地SharePoint部署(尤其是2016或2019版本)的企业应优先处理此补丁。微软同时感谢了安全社区就该漏洞开展的协同披露工作。