今個星期網絡安全界可以話係烽煙四起。Microsoft 五月 Patch Tuesday 一口氣修復咗 138 個漏洞,同時 cPanel 一個 critical 漏洞正被大規模 active exploit,駭客用嚟植入 Filemanager backdoor。以下係詳細報導。
## Microsoft 五月 Patch Tuesday:138 個漏洞修復
Microsoft 喺 5 月 12 日嘅 Patch Tuesday 發布咗多達 138 個 CVE 修復,係今年以嚟第三大規模嘅月度更新。當中包括多個 critical 等級漏洞,涵蓋 DNS Server、Netlogon、Windows Kernel 等核心組件。
重點漏洞包括:
**DNS Server RCE(CVE-2026-XXXXX)** — 呢個漏洞容許攻擊者透過特製 DNS 請求喺 DNS Server 上執行任意程式碼。CVSS 評分達 9.8,影響所有支援版本嘅 Windows Server。考慮到 DNS 係企業網絡基礎設施嘅核心,呢個漏洞嘅潛在破壞力係災難級。
**Netlogon RCE** — 另一個 critical 級別漏洞,容許未經認證嘅攻擊者透過 Netlogon 協議執行程式碼。Netlogon 喺 2020 年嘅 Zerologon(CVE-2020-1472)之後已經係安全社群重點關注對象,今次再有新漏洞,顯示呢個協議仍然係攻擊面嘅薄弱環節。
**BitLocker 加密繞過** — 一個 zero-day vulnerability 嘅 PoC 已經公開,容許攻擊者喺特定條件下 bypass BitLocker 加密,直接存取受保護嘅 drives。Microsoft 已經為 Windows 11 用戶修復咗 BitLocker recovery 問題,但 Windows 10 用戶仍然需要等待。
除咗安全修復,今次更新仲 fix 咗 Windows Autopatch bug(之前會錯誤安裝 restricted drivers),以及修正咗部分用戶無法喺 Windows 365 devices 安裝 Office 嘅問題。
## MDASH:Microsoft 嘅 AI 漏洞發現系統
值得注意嘅係,今次修復嘅漏洞之中有 16 個係由 Microsoft 內部嘅 AI 系統「MDASH」發現嘅。MDASH 係一個專為自動化漏洞挖掘而設計嘅 AI 系統,能夠分析 Windows 程式碼庫,自動識別潛在嘅 security bug。
呢個發展呼應咗業界趨勢 — AI 輔助漏洞發現正喺度改變成個 security landscape。OpenAI 近期都推出咗「Daybreak」,一個專為 AI-powered vulnerability detection 同 patch validation 設計嘅系統。
## cPanel CVE-2026-41940:Active Exploitation 警報
另一邊廂,cPanel 正面臨緊急安全危機。CVE-2026-41940 已被確認正被 active exploit,攻擊者利用呢個漏洞喺受影響嘅伺服器上植入 Filemanager backdoor。
cPanel 係全球最普及嘅 web hosting 控制面板,估計有大約 20% 嘅網站 hosting 都係用 cPanel 管理。一個 cPanel 漏洞被 active exploit,意味住成千上萬嘅網站都可能受到威脅。
cPanel 同 WHM 團隊已經發布咗針對三個新漏洞嘅修復,強烈建議所有用戶立即更新。影響範圍包括:
– cPanel & WHM 多個版本
– Filemanager 功能被用作攻擊向量
– Backdoor 容許攻擊者持續存取伺服器
– 可能導致大規模網站被篡改、data exfiltration
## 其他值得關注嘅安全新聞
**RubyGems 暫停新註冊** — RubyGems.org 因為偵測到大量惡意 packages 被上傳,被迫暫停新用戶註冊。「GemStuffer」攻擊行動濫用超過 150 個 RubyGems packages 去竊取英國 council portal 嘅 scraped data。呢次攻擊仲有一個叫「Mini Shai-Hulud」嘅 worm 變種,成功 compromise 咗 TanStack、Mistral AI、Guardrails AI 等多個知名 packages。
**Instructure Canvas 資料外洩** — Instructure(Canvas LMS 開發商)確認同 ShinyHunters 勒索軟件組織達成贖金協議,停止洩漏 3.65TB 嘅 Canvas 用戶資料。呢次事件影響大量學校同教育機構,美國政府正尋求 Instructure 就事件作證。
**iOS 26.5 推出預設 E2E 加密 RCS** — Apple 喺 iOS 26.5 引入預設 end-to-end encrypted RCS messaging,令 iPhone 同 Android 之間嘅通訊終於有咗真正嘅跨平台加密保護。呢個係即時通訊安全嘅重大里程碑。
## 分析與建議
今個月嘅安全形勢有幾個值得關注嘅趨勢:
1. **AI 雙刃劍** — AI 同時俾 defenders(Microsoft MDASH)同 attackers(AI-generated exploits)使用,patch 速度成為關鍵競爭優勢
2. **Supply chain 攻擊持續升溫** — RubyGems 事件顯示 package registry 仍然係軟件供應鏈嘅薄弱環節
3. **Hosting infrastructure 成為目標** — cPanel 漏洞 attack 證明 hosting 基礎設施嘅安全性直接影響數以萬計嘅網站
建議企業安全團隊:
– 立即評估 Microsoft May Patch Tuesday 修補程式,優先處理 DNS 同 Netlogon 相關 CVE
– 檢查所有 cPanel/WHM 伺服器版本,確認已更新到最新版本
– 審查 RubyGems 依賴項目,確保冇使用受影響嘅 packages
– 密切監控供應商安全公告,特別係 hosting 同 infrastructure 相關
今個月嘅教訓好清楚:patching 速度決定一切。喺 AI 可以 7 日內寫出 zero-day exploit 嘅時代,傳統嘅 quarterly patching cycle 已經唔再足夠。
Stay patched, stay safe. 🔐
#行業資訊 #Patch #漏洞 #AI #攻擊
