发布日期:2026年5月13日
编辑整理:安全研究团队
漏洞总数:137个(微软产品)+ 128个Chromium Edge第三方组件 = 265个
严重等级:30个严重(Critical)、103个重要(Important)
一、本月安全更新概览
微软于2026年5月12日发布月度安全更新(Patch Tuesday),共修补 137个CVE编号漏洞,较上月(165个)有所减少。加上 Microsoft Edge 中128个基于Chromium的第三方组件漏洞,本月总计修复265个安全漏洞。
关键数字
| 统计项 | 数值 |
|---|---|
| 漏洞总数(微软产品) | 137 |
| 严重(Critical)漏洞 | 30 |
| 重要(Important)漏洞 | 103 |
| 中等(Moderate)漏洞 | 3 |
| 低危(Low)漏洞 | 1 |
| 更有可能被利用的漏洞 | 13 |
| 零日漏洞数 | 0(自2024年6月以来首次零日自由) |
漏洞类型分布
| 漏洞类型 | 数量 | 占比 |
|---|---|---|
| 权限提升(EoP) | 62 | 45.3% |
| 远程代码执行(RCE) | 31 | 22.6% |
| 信息泄露(Info Disclosure) | 15 | 10.9% |
| 欺骗(Spoofing) | 14 | 10.2% |
| 拒绝服务(DoS) | 8 | 5.8% |
| 安全功能绕过(SFB) | 6 | 4.4% |
| 篡改(Tampering) | 2 | 1.5% |
受影响产品分布
| 产品家族 | 修补数量 |
|---|---|
| Windows 及组件 | 66 |
| Microsoft Office | 24 |
| Azure 云服务 | 16 |
| 其他(.NET、SQL Server、Copilot等) | 31 |
二、重大漏洞详细分析
🔴 2.1 Word 远程代码执行漏洞(Word RCE)
本月最值得关注的客户端漏洞集中在 Microsoft Word 中,共计 4个严重等级RCE漏洞,均可通过 Office预览窗格(Preview Pane) 触发,无需用户打开恶意文档。
| CVE编号 | 漏洞类型 | CVSS评分 | 影响组件 |
|---|---|---|---|
| CVE-2026-40361 | Use-After-Free(释放后使用) | 8.4 | Microsoft Word |
| CVE-2026-40364 | Type Confusion(类型混淆) | 8.4 | Microsoft Word |
| CVE-2026-40366 | Use-After-Free(释放后使用) | 8.4 | Microsoft Word |
| CVE-2026-40367 | Untrusted Pointer Dereference(不可信指针解引用) | 8.4 | Microsoft Word |
攻击向量:攻击者可通过钓鱼邮件发送特制Word文档,收件人只需在预览窗格中查看即可触发漏洞,无需实际打开文件。成功利用后,攻击者可在受害者系统上执行任意代码、安装恶意软件、窃取凭据或横向移动。
安全建议:立即为所有Office终端应用安全更新,并考虑在补丁部署完成前禁用预览窗格功能。
🔴 2.2 Azure AI Foundry 特权提升漏洞
| 属性 | 值 |
|---|---|
| CVE编号 | CVE-2026-35435 |
| 严重级别 | 严重(Critical) |
| CVSS评分 | 8.6 |
| 漏洞类型 | 权限提升(Improper Access Control) |
| 用户交互 | 无需用户交互 |
漏洞详情:Azure AI Foundry M365 agents 中存在不恰当的访问控制缺陷,允许未经授权的远程攻击者通过网络提升权限。该漏洞影响 Azure AI Foundry 的权限管理机制。
特别说明:此漏洞已在微软服务端完成修复,客户无需采取任何操作(No customer action required)。但企业安全团队应确认其AI工作负载的访问控制策略,确保最小权限原则得到落实。
🔴 2.3 Windows Defender 零日漏洞回顾(CVE-2026-33825)
虽然本月补丁日没有新的零日漏洞,但2026年4月发生的 Microsoft Defender 零日攻击 仍然对本月安全态势产生深远影响。这是自2024年6月以来微软首次出现零日自由的补丁日,但业界普遍认为这只是暂时的喘息机会。
BlueHammer & RedSun 攻击链
| 攻击代号 | CVE编号 | 漏洞类型 | 影响 |
|---|---|---|---|
| BlueHammer | CVE-2026-33825 | TOCTOU 竞争条件(本地提权) | 无权限用户可获 SYSTEM 权限 |
| RedSun | CVE-2026-33825 | 云文件回滚机制滥用 | 替代性提权路径 |
| UnDefend | — | Defender 更新机制破坏 | 逐渐削弱防护能力 |
技术细节:BlueHammer 利用 Defender 威胁修复引擎中的 TOCTOU(Time-of-Check to Time-of-Use)竞争条件。攻击者首先触发 Defender 检测,然后利用 NTFS 交接点(Junction Point) 和 机会锁(Opportunistic Lock) 将 Defender 的写入操作重定向到 C:\Windows\System32,最终以 SYSTEM 权限覆写系统二进制文件实现提权。
CISA已将CVE-2026-33825列入已知被利用漏洞目录(KEV),所有组织必须确保已应用2026年4月的Defender安全更新。
🔴 2.4 Windows Netlogon 远程代码执行漏洞(蠕虫级)
| 属性 | 值 |
|---|---|
| CVE编号 | CVE-2026-41089 |
| 严重级别 | 严重(Critical) |
| CVSS评分 | 9.8 |
| 漏洞类型 | 栈缓冲区溢出(Stack Buffer Overflow) |
| 利用复杂度 | 低 |
| 身份验证 | 无需认证 |
| 用户交互 | 无需用户交互 |
| 被利用可能性 | 更有可能被利用 |
漏洞详情:Windows Netlogon 服务在处理特制网络请求时存在栈缓冲区溢出缺陷。攻击者只需向域控制器发送特制的网络请求,即可实现 未经认证的远程代码执行。
严重性评估:此漏洞无需任何身份验证或用户交互,且域控制器是企业网络的核心身份基础设施。一旦域控制器被攻陷,攻击者将有效控制整个域。CrowdStrike 和 ZDI 均将此漏洞标记为蠕虫级(Wormable)。
🔴 2.5 Windows DNS 客户端远程代码执行漏洞
| 属性 | 值 |
|---|---|
| CVE编号 | CVE-2026-41096 |
| 严重级别 | 严重(Critical) |
| CVSS评分 | 9.8 |
| 漏洞类型 | 堆缓冲区溢出(Heap Buffer Overflow) |
| 身份验证 | 无需认证 |
| 用户交互 | 无需用户交互 |
漏洞详情:Windows DNS 客户端在处理特制 DNS 响应时存在堆缓冲区溢出缺陷。攻击者需要能够影响目标主机接收的 DNS 响应(如通过中间人攻击或恶意 DNS 服务器),在特定配置下可实现未经认证的远程代码执行。由于 DNS 客户端运行在几乎所有 Windows 系统上,影响面极为广泛。
🔴 2.6 Windows Hyper-V 特权提升漏洞(虚拟机逃逸)
| 属性 | 值 |
|---|---|
| CVE编号 | CVE-2026-40402 |
| 严重级别 | 严重(Critical) |
| CVSS评分 | 9.3 |
| 漏洞类型 | Use-After-Free(释放后使用) |
| 被利用可能性 | 更有可能被利用 |
漏洞详情:Windows Hyper-V 虚拟化组件中存在释放后使用内存缺陷,攻击者可通过来宾虚拟机中的低权限程序触发漏洞,突破虚拟机与宿主机之间的安全边界,在宿主机上获得 SYSTEM 权限。对于多租户云环境和虚拟化数据中心,此漏洞风险极高。
三、严重漏洞完整列表
需要客户主动修复的严重漏洞
| CVE编号 | 组件 | CVSS | 漏洞类型 | 攻击向量 |
|---|---|---|---|---|
| CVE-2026-42898 | Microsoft Dynamics 365(本地版) | 9.9 | 代码注入 | 需认证,无需交互 |
| CVE-2026-41089 | Windows Netlogon | 9.8 | 栈溢出 RCE | 无需认证,无需交互 |
| CVE-2026-41096 | Windows DNS 客户端 | 9.8 | 堆溢出 RCE | 无需认证,DNS欺骗 |
| CVE-2026-40402 | Windows Hyper-V | 9.3 | Use-After-Free EoP | 来宾VM逃逸至宿主机 |
| CVE-2026-41103 | Microsoft SSO 插件 for Jira/Confluence | 9.1 | 认证绕过 EoP | 无需认证,无需交互 |
| CVE-2026-40403 | Windows Win32K GRFX | 8.8 | 堆溢出 RCE | 需认证,RDP/本地 |
| CVE-2026-40365 | Microsoft SharePoint Server | 8.8 | 访问控制不足 RCE | 需Site Owner权限 |
| CVE-2026-40367 | Microsoft Word | 8.4 | 不可信指针解引用 RCE | 预览窗格触发 |
| CVE-2026-40366 | Microsoft Word | 8.4 | Use-After-Free RCE | 预览窗格触发 |
| CVE-2026-40364 | Microsoft Word | 8.4 | 类型混淆 RCE | 预览窗格触发 |
| CVE-2026-40361 | Microsoft Word | 8.4 | Use-After-Free RCE | 预览窗格触发 |
| CVE-2026-40363 | Microsoft Office | 8.4 | 堆溢出 RCE | 预览窗格触发 |
| CVE-2026-40358 | Microsoft Office | 8.4 | Use-After-Free RCE | 预览窗格触发 |
| CVE-2026-35421 | Windows GDI | 7.8 | 堆溢出 RCE | 打开恶意EMF文件 |
| CVE-2026-42831 | Office LTSC for Mac 2021 | 7.8 | 堆溢出 RCE | 打开恶意文件 |
| CVE-2026-32161 | Windows Native WiFi Miniport Driver | 7.5 | 竞争条件 RCE | 相邻网络 |
微软服务端已修复(客户无需操作)
| CVE编号 | 组件 | CVSS | 漏洞类型 |
|---|---|---|---|
| CVE-2026-42826 | Azure DevOps | 10.0 | 信息泄露 |
| CVE-2026-33109 | Azure Managed Instance for Apache Cassandra | 9.9 | RCE |
| CVE-2026-35428 | Azure Cloud Shell | 9.6 | 欺骗(命令注入) |
| CVE-2026-33823 | Microsoft Teams Events Portal | 9.6 | 信息泄露 |
| CVE-2026-40379 | Microsoft Enterprise Security Token Service | 9.3 | 欺骗 |
| CVE-2026-33844 | Azure Managed Instance for Apache Cassandra | 9.0 | RCE |
| CVE-2026-32207 | Azure Machine Learning Notebook | 8.8 | 欺骗(XSS) |
| CVE-2026-35435 | Azure AI Foundry | 8.6 | 权限提升 |
| CVE-2026-34327 | Microsoft Partner Center | 8.2 | 欺骗 |
| CVE-2026-41105 | Azure Monitor Action Group Notification | 8.1 | SSRF EoP |
| CVE-2026-26129 | M365 Copilot Business Chat | 7.5 | 信息泄露 |
| CVE-2026-26164 | M365 Copilot Business Chat | 7.5 | 信息泄露 |
四、更有可能被利用的漏洞(Top Priority)
微软评估以下 13个漏洞 极有可能被攻击者利用,应优先修复:
| CVE编号 | 组件 | 等级 | CVSS |
|---|---|---|---|
| CVE-2026-41103 | Microsoft SSO 插件 for Jira/Confluence | 严重 | 9.1 |
| CVE-2026-40361 | Microsoft Word | 严重 | 8.4 |
| CVE-2026-40364 | Microsoft Word | 严重 | 8.4 |
| CVE-2026-33835 | Windows Cloud Files Mini Filter Driver | 重要 | 7.8 |
| CVE-2026-33837 | Windows TCP/IP | 重要 | 7.8 |
| CVE-2026-33840 | Windows Win32k | 重要 | 7.8 |
| CVE-2026-33841 | Windows Kernel | 重要 | 7.8 |
| CVE-2026-35416 | Windows Ancillary Function Driver for WinSock | 重要 | 7.8 |
| CVE-2026-35417 | Windows Win32k | 重要 | 7.8 |
| CVE-2026-40369 | Windows Kernel | 重要 | 7.8 |
| CVE-2026-40397 | Windows Common Log File System (CLFS) Driver | 重要 | 7.8 |
| CVE-2026-40398 | Windows Remote Desktop Services | 重要 | 7.8 |
五、影响分析与攻击场景
5.1 最危险的攻击路径
- 域控制器沦陷(CVE-2026-41089):Netlogon 漏洞无需任何身份验证即可在域控制器上执行代码,攻击者可借此完全接管整个域环境。
- 文档驱动的渗透攻击(CVE-2026-40361/40364/40366/40367):四款Word RCE漏洞均可通过预览窗格触发,结合钓鱼邮件进行大规模定向攻击。
- 虚拟机逃逸(CVE-2026-40402):Hyper-V 的 Guest-to-Host 逃逸漏洞威胁云服务提供商和数据中心,攻击者可突破租户隔离。
- SSO 中间人攻击(CVE-2026-41103):影响 Atlassian 生态(Jira/Confluence)的微软 SSO 插件,攻击者可绕过 Entra ID 身份验证,对使用 Atlassian 的组织的供应链安全构成严重威胁。
5.2 Defender 零日攻击的持续影响
尽管5月没有新的零日漏洞,但4月的 BlueHammer/RedSun/UnDefend 三阶段攻击链展示了攻击者如何组合利用 Defender 的多个机制实现持久化提权。这提醒安全团队:
- 端点防护软件本身也可能成为攻击目标
- 竞争条件类漏洞在安全产品中日益常见
- 建议使用 Picus、SafeBreach 等平台验证安全控制的有效性
5.3 22个月零日连续记录的终结
本次补丁日是自2024年6月以来首个没有任何零日漏洞的月度更新,这打破了一段长达22个月的连续记录。安全社区对此解读不一:可能是攻击者活动暂时放缓,也可能是微软安全审查流程的改进成效。但考虑到6月即将到来的 Secure Boot 证书过期截止日(2026年6月26日),以及 Pwn2Own 柏林大赛即将举行,业界对此不宜过度乐观。
六、修复建议与最佳实践
🚨 紧急修复优先级(第1-3天)
- 立即部署域控制器补丁:优先修复 CVE-2026-41089(Netlogon RCE)
- 更新 Office 全系产品:覆盖 CVE-2026-40361/40364/40366/40367 等 Word RCE 漏洞
- 修复 Hyper-V 主机:CVE-2026-40402 虚拟机逃逸漏洞
- 安装 Atlassian SSO 插件更新:CVE-2026-41103
- 更新 DNS 客户端:CVE-2026-41096
✅ 常规修复流程
- 通过 Windows Update 自动更新
- 设置 → Windows Update → 检查更新
- 手动下载补丁
- 微软安全更新指南
- 企业批量部署
- 使用 WSUS、SCCM、Intune 进行分级部署
- 先在测试环境验证,再推送到生产环境
🛡️ 纵深防御建议
| 缓解措施 | 说明 |
|---|---|
| 网络分段 | 限制域控制器、Hyper-V 主机的网络暴露面 |
| 最小权限原则 | 审计用户权限,限制非必要管理员账户 |
| 禁用预览窗格 | 在补丁部署完成前,在 Outlook 中禁用预览窗格 |
| 端点检测与响应 | 启用 EDR 解决方案监控异常行为 |
| 安全启动验证 | 检查 Secure Boot 证书有效期(2026年6月26日前完成更新) |
| 多因素认证 | 对 SSO 系统和关键管理接口启用 MFA |
| 备份关键数据 | 对域控制器、数据库等重要系统进行异地备份 |
⏰ 关键时间节点
| 日期 | 事项 |
|---|---|
| 2026年5月12日 | 5月补丁日发布 |
| 2026年6月9日 | 6月补丁日(预计) |
| 2026年6月26日 | Secure Boot 证书过期截止日 |
| 2026年7月14日 | 7月补丁日(预计) |
七、总结
2026年5月补丁日共修复了 137个微软产品漏洞(含第三方组件共265个),其中 30个为严重等级。尽管这是自2024年6月以来首个无零日漏洞的补丁日,但安全社区不应放松警惕。
三大核心风险:
- Word RCE 漏洞群(CVE-2026-40361等)——通过预览窗格即可触发,攻击门槛极低
- Azure AI Foundry 权限提升(CVE-2026-35435)——AI 工作负载安全的新挑战
- Defender 零日攻击的持续阴影——BlueHammer/RedSun 攻击链揭示端点防护的新攻击面
组织应按照上述优先级建议,尽快完成关键漏洞的修复工作,并利用这次相对"温和"的补丁日窗口,完善整体的安全补丁管理流程和纵深防御体系。
参考来源:
- Microsoft Security Response Center - May 2026 Update Guide
- CrowdStrike - May 2026 Patch Tuesday Analysis
- Cisco Talos - Microsoft Patch Tuesday May 2026
- Zero Day Initiative - May 2026 Security Update Review
- SANS ISC - Microsoft May 2026 Patch Tuesday
- Hive Pro - Microsoft's May 2026 Patch Tuesday
- Picus Security - BlueHammer & RedSun: Windows Defender CVE-2026-33825
- 火绒安全 - 2026-05 微软漏洞通告
- 华为云 - 微软2026年5月份月度安全漏洞预警
- iThome - 微軟5月份例行更新修補137個資安漏洞