資安週報0518~0522 Windows零時差漏洞連環揭露串成攻擊鏈
來源: iThome(ID: 540) URL: https://www.ithome.com.tw/news/176056 發布日期: 2026-05-22
摘要
本週(0518~0522)資安焦點:Windows 五個零時差漏洞可串成完整攻擊鏈;思科 Catalyst SD-WAN CVSS 滿分漏洞遭國家級駭客 UAT-8616 利用;NVMe 與 WD 硬碟韌體相繼導入後量子密碼學(PQC)。
主要新聞彙整
Windows 零時差攻擊鏈(LevelBlue 警告)
| 漏洞代號 | CVE | 攻擊階段 |
|---|---|---|
| BlueHammer | CVE-2026-33825 | 初始存取 |
| RedSun | — | 權限提升 |
| UnDefend | — | 迴避偵測 |
| YellowKey | CVE-2026-45585 | BitLocker 繞過 |
| GreenPlasma | — | — |
| MiniPlasma | CVE-2020-17103 | SYSTEM 權限 |
思科 SD-WAN CVE-2026-20182(CVSS 10)
- Catalyst SD-WAN 身分驗證繞過,UAT-8616 積極利用,CISA 已列入 KEV
PQC 重要進展
- NVMe 協定:2026年完成 PQC 規格更新
- WD Ultrastar DC HC6100:ML-DSA-87 + RSA-3072 雙重簽章
重大資料外洩
- NYC Health + Hospitals:180萬人含生物辨識、醫療、信用卡資料
- 7-Eleven:ShinyHunters 宣稱竊取60萬筆加盟店資料
- Mistral AI:TeamPCP 竊取 ~5GB、450個儲存庫
- CISA GitHub:844MB 含明文密碼、AWS 憑證暴露約半年
AI 資安
- 台灣逾6萬企業未封鎖中國AI模型,小型企業封鎖率僅27%
- Claude Mythos:可串聯多個低嚴重性漏洞形成攻擊鏈
- Chrome CVE 揭露量暴增 563.2%(AI 輔助發掘)
- Langflow CVE-2026-33017:NATS-as-C2 竊取 API 金鑰
重要漏洞
- Exchange Server CVE-2026-42897:CVSS 8.1,已遭利用,CISA KEV,尚無修補
- Nginx CVE-2026-42945:570萬台未修補
- SandboxJS CVE-2026-43898:CVSS 10.0 沙箱逃逸
- Firefox 150.0.3 CVE-2026-8401:CVSS 9.8
身分安全
- 微軟個人帳號停用簡訊 OTP,轉向 Passkey
- Fox Tempest 遭瓦解:偽造超過1,000個憑證
- Tycoon 2FA:利用 Trustifi + Cloudflare Workers + OAuth 竊取 M365 權杖
DEVCORE Pwn2Own 奪冠
- Pwn2Own Berlin 2026:50.5分,獎金 $505,000
衍生頁面
- Chaotic Eclipse五個零時差漏洞串成完整Windows攻擊鏈 — 更新:週報確認攻擊鏈串成完整
- cisco-sdwan-vulnerabilities-2026 — 思科 SD-WAN 漏洞群組更新
- 臺灣企業AI使用風險與中國AI模型封鎖現況2026 — 台灣6萬企業封鎖現況確認
- uat-8616 — UAT-8616 利用 CVE-2026-20182
- levelblue — LevelBlue 警告 Windows 攻擊鏈
- devcore — Pwn2Own Berlin 2026 冠軍