微软正面临多项严重安全漏洞,包括一个已被积极利用的Exchange Server欺骗漏洞,以及一个名为YellowKey的BitLocker绕过漏洞。这些漏洞影响微软的核心产品,如Defender、Edge和Authenticator应用,攻击者已借此获得未经授权的系统访问权限并绕过安全保护。虽然微软已修复部分问题,并撤销了Edge以明文存储密码的设计,但Exchange Server漏洞仍未修复,企业需立即采取缓解措施。
尽管5月的补丁星期二更新中并无真正的零日漏洞需要修复,但自那以后的后果却十分严重。首次针对微软Exchange Server的攻击最早发生在补丁星期二当周,攻击者利用了一个至今仍未修复、且持续被黑客利用的漏洞。
与此同时,微软已为其恶意软件保护引擎发布安全更新以修复关键缺陷,撤销了在Edge中以明文存储密码的设计决策,并采取了其他措施。此外,一名安全研究员发布了另一个概念验证漏洞,此次针对的是BitLocker安全漏洞。下一个预定补丁星期二为2026年6月9日。
微软Exchange Server漏洞
Exchange Server(2016、2019和订阅版)中的欺骗漏洞CVE-2026-42897被微软认定为严重级别,目前正被用于野外攻击。微软尚未准备好任何更新来修复此安全漏洞。Exchange紧急缓解(EM)服务可在启用状态下提供自动防护。微软Exchange团队在一篇博客文章中解释了企业管理员如何最小化攻击面,以及这可能带来的副作用。
YellowKey智取BitLocker
一位名为Nightmare-Eclipse的安全研究员——此前曾发布RedSun和MiniPlasma概念验证漏洞——继续与微软对抗,发布了针对BitLocker漏洞的另一个概念验证漏洞。该漏洞名为YellowKey,允许拥有物理访问权限的攻击者通过USB闪存驱动器绕过BitLocker加密的PC的保护。这在设备以仅TPM模式(未设置PIN码)使用BitLocker时有效。微软将此漏洞评定为高风险,编号为CVE-2026-45585(BitLocker安全功能绕过),并已为Windows 11和Server 2025发布更新。
微软Edge和Authenticator
我们此前报道过,微软的Edge浏览器会将保存的密码以明文形式加载到内存中,以便在需要时立即使用。自5月15日的Edge更新(版本148.0.3967.70)以来,浏览器已更谨慎地处理密码。截至5月21日,Android版Edge也已更新至该版本。微软的iOS和Android版Authenticator应用也被发现会泄露敏感信息,允许攻击者利用当前登录用户的权限访问所有内容——文件、服务、信息。微软将漏洞CVE-2026-41615归类为严重级别,并已发布修复版本。
微软Defender也存在漏洞
微软为Windows PC提供的恶意软件防御系统存在三个需要修补的漏洞。攻击者可以利用这些漏洞将恶意代码悄悄绕过Defender而不被发现。微软报告称,权限提升漏洞CVE-2026-41091已有公开的利用代码,攻击者正在利用这些漏洞。利用此安全漏洞可使攻击者获得系统权限。Defender中的拒绝服务漏洞CVE-2026-45498也已被利用。而远程代码执行漏洞CVE-2026-45584尚未被利用,但可用于执行代码。
这些漏洞存在于微软恶意软件保护引擎版本1.1.26030.3008及更早版本中。微软已通过Defender的每日自动更新推送了修补版本。在版本1.1.26040.8及更高版本中,所有三个漏洞均已被修复。为安全起见,请检查是否已收到此修补版本:打开Windows设置 > 隐私和安全 → Windows安全 → 病毒和威胁防护 → 设置(左下角图标)→ 关于。查看“引擎版本”即可。
