CISA 最後期限到了，仍有 1,300 台 SharePoint 伺服器活在攻擊者手裡

2026 年 4 月 28 日是美國所有聯邦民事機關被要求修補 CVE-2026-32201 的最後期限——一個正在被實際利用的 Microsoft SharePoint Server 偽造（spoofing）漏洞。期限到的那一天，外網掃描顯示仍有超過 1,300 台 SharePoint 伺服器尚未修補。如果你在 2026 年還在內部跑任何版本的 SharePoint，這件事不是「有空再修」的清單項，是這禮拜二早上排第一順位的工作。

一、CVE-2026-32201 是什麼

CVE-2026-32201 是一個輸入驗證不當（improper input validation）的瑕疵，讓未認證的遠端攻擊者可以在網路上對 SharePoint Enterprise Server 2016、SharePoint Server 2019、SharePoint Server Subscription Edition 進行偽造攻擊。CVSS 基礎分數 6.5——屬於「Important」，不是「Critical」——而正是這個比較低的分數讓它一直被低估。它在投影片上看起來沒有 9.8 的 RCE 那麼嚇人，但它正在野外被武器化，微軟在 4 月 Patch Tuesday 推出修補時也確認了利用行為。

二、為什麼「Spoofing」比聽起來危險

SharePoint 的 Spoofing 表示攻擊者可以讓伺服器，或者透過伺服器讓其他使用者，相信某個請求、檔案或通知來自一個受信任的身份——而其實不是。在一個跑 SharePoint 的企業內網裡，這意味著：偽造連結指向看起來像「內部 HR 公告」的攻擊者文件；釣魚負載透過使用者已經被訓練過要信任的 SharePoint UI 直接送達；冒用身份的通知完全繞過以電子郵件為基礎的釣魚偵測，因為它根本不經過信箱。這不是「看到一些敏感資料」的漏洞，這是「先取得立足點再橫向移動」的漏洞，正是 2025 年高衝擊入侵鏈裡常用的那一型弱點。

三、為什麼這麼多伺服器沒修

SharePoint On-Prem 是現存企業產品中「長尾」最久的之一。許多組織還在跑 2016 或 2019，因為自家自訂工作流搬不去 SharePoint Online。這些伺服器常常是業務單位在管，不是中央 IT；它們躲在 VPN 後面，被「反正是內網」這個假設保護著——儘管它越來越常透過合作夥伴網路、外包筆電、被遺忘的對外反向代理被觸及。Shadowserver 等掃描器目前能看到大約 1,300 台，這個數字幾乎肯定低估了把私有企業網路算進去後的真實暴露量。

四、4 月 Patch Tuesday 的全貌

微軟一共處理了 164 至 169 個漏洞（不同來源計算不同），包括另一個已公開揭露的零時差、一個 Microsoft Defender 權限提升漏洞（CVE-2026-33825，CVSS 7.8），以及一個讓人毛骨悚然的 Windows IKE 服務擴展未認證遠端程式執行漏洞（CVE-2026-33824，CVSS 9.8）。IKE 那個漏洞讓攻擊者只要對啟用 IKEv2 的系統發送特定封包就能執行程式碼。如果你跑 Windows VPN 端點，那是今天清單上的第二項；如果你同時跑 SharePoint 與 Windows VPN 端點，你就站在這個月修補週期最壞的交集裡。

五、「修好了」到底是什麼意思

修補是必要、但不夠。SharePoint 被利用後通常會留下三類痕跡，請在打完更新後去獵捕：異常的 OAuth 或 App-Only Token 請求、_layouts 路徑下的 Web Shell、以及 SharePoint Application Pool 身分發出的異常出站流量。把你 SOC 為 2025 年 ToolShell 漏洞建的 IOC 掃描跑一輪——多數痕跡家族在這次也適用。如果你因為 SharePoint 2016 自訂工作流會被累積更新打壞而暫時無法上 patch，緩解措施有：啟用 AMSI 整合、把 SharePoint 鎖到 SAML 或 Modern Auth、並在前面架一條 WAF 規則阻擋微軟在公告裡發布的請求樣式。

六、營運上的教訓

第一，CVSS 會說謊——更精確地說，CVSS 是把漏洞「孤立」描述，但你的環境不是孤立的。CVE-2026-32201 用分數看是 Important，用實際利用看是 Critical，在一個以 SharePoint 為主要協作平台的環境裡看是 Existential。把 KEV 目錄當作優先級的權威訊號，不是 CVSS。第二，FCEB 的期限對非聯邦組織也是一個有用的節奏錨。CISA 之所以選 4 月 28 日，是因為以已知利用情況來說，那是「還能站得住腳」的最晚日期；私部門的防守者面對的是同一群攻擊者、同一套工具。第三，存在一個已被公開揭露的姊妹漏洞（微軟在同一天 4 月 28 日修訂了 CVE-2026-32202 的公告），這是強烈的暗示：底層的這一類錯誤——SharePoint 身分相關 URL 處理的輸入驗證不當——還會有後續。請在下一個被公佈之前就先計畫。

我的看法

我認為這個 SharePoint 零時差是這個月最被低估的資安故事，原因正是它沒有掛著 9.8。偵測與反應團隊的注意力被 Critical 級別的 CVSS 數字所校準；管理被攻擊伺服器的人則被「我這個 ticket 有沒有進這個 Sprint」所校準。一個 6.5、在被實際利用、有 CISA 期限、外網看得到 1,300 台未修補的漏洞，把計分系統與現實之間的鴻溝攤在大家面前。該做的回應是制度性的，不是技術性的：每位 CISO 都應該訂下一條常駐規則：CISA 加進 KEV 的任何漏洞，不管 CVSS 多少，14 天內修補；同時要求每週用外部的攻擊面工具掃自家所有 SharePoint On-Prem。技術上的 patch 是容易的，建立「在期限內把它部下去」的肌肉記憶才是難的——而下一輪幾乎必然會到來的 SharePoint 揭露，會直接考驗這條肌肉記憶。