CVE-2026-40361:Word零点击RCE漏洞曝光,选中邮件即可被控

🌈

Microsoft Word释放后使用漏洞CVE-2026-40361，CVSS 8.4，通过Outlook预览窗格即可零点击触发，所有受支持Office版本均受影响

在Outlook里选中一封邮件就能被远程控制——这不是科幻场景，而是CVE-2026-40361的真实攻击面。

2026年5月12日，微软在月度补丁日中修复了一个影响所有受支持Office版本的远程代码执行漏洞。该漏洞位于Microsoft Word的文档渲染引擎中，攻击者无需受害者打开附件，只需让其在Outlook中选中一封包含恶意.docx文件的邮件，即可触发代码执行。

“不要打开未知附件”这条安全建议，对这个漏洞完全无效。

一、漏洞全貌

核心特征

• 零点击攻击（Zero-click）：无需打开或点击附件
• 预览窗格触发：Outlook阅读窗格 + Windows资源管理器预览窗格均可触发
• 全版本覆盖：Microsoft 365 Apps、Office 2016/2019/2021全部受影响
• 微软高频利用评级：官方判定为”更可能被利用”

二、影响版本与环境

受影响的产品

利用前置条件

关键风险：补丁部署延迟

企业环境中MSI安装的Office构成最大的暴露面——它们不会自动更新，依赖WSUS或手动管理。

三、漏洞原理与利用条件

漏洞类型：Use After Free（UAF）

**释放后使用（Use After Free）**是一种内存安全漏洞。其基本原理：

1. Word渲染引擎分配内存对象A，存储文档数据
2. 由于特定处理逻辑，对象A被释放（free/deallocate）
3. 释放后，代码仍然持有指向对象A的指针
4. 代码通过该指针访问已释放的内存 → UAF触发
5. 攻击者通过精心构造的文档控制已释放内存的内容
6. 实现代码执行（RCE）

为什么预览窗格能触发？

Outlook阅读窗格和Windows资源管理器预览窗格使用了与Word完全相同的文档渲染引擎。当预览窗格尝试渲染恶意.docx文件时，漏洞代码路径被触发。

攻击路径：

攻击者构造恶意.docx → 通过邮件发送给目标
                                ↓
目标在Outlook中选中邮件 → 阅读窗格自动调用Word渲染引擎
                                ↓
Word引擎解析.docx → 触发UAF漏洞 → 代码执行
                                ↓
攻击者获得目标终端的代码执行权限

与CVE-2026-40364的关系

同批披露的CVE-2026-40364也是Microsoft Word RCE漏洞，具有相似的攻击向量特征（预览窗格可触发），两者构成互补的攻击面。安全团队应同时修复这两个漏洞。

四、漏洞复现指南

🌈

声明：以下复现信息仅用于安全研究和防御验证目的。

复现环境要求

- Windows 10/11（未安装2026年5月补丁）
- Microsoft Office（未安装2026年5月安全更新）
- Outlook（任意受支持版本，配置了邮件账户）
- 用于构造恶意文档的分析环境

漏洞检测方法

由于目前暂无公开PoC代码（截至2026年5月26日），安全研究人员可通过以下方式验证环境是否受影响：

方法一：检查补丁状态

# 检查Office补丁版本
$word = Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Office\ClickToRun\Configuration" -ErrorAction SilentlyContinue
if ($word) {
    Write-Host "Click-to-Run Version: $($word.UpdateChannel) | LastUpdate: $($word.LastUpdate)"
}

# 检查MSI安装的Office版本
$officeVer = Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Office\16.0\Word\InstallRoot" -ErrorAction SilentlyContinue
if ($officeVer) {
    Write-Host "Office MSI Path: $($officeVer.Path)"
    # 查看Word.exe版本信息
    $wordExe = Join-Path $officeVer.Path "WINWORD.EXE"
    if (Test-Path $wordExe) {
        $ver = (Get-Item $wordExe).VersionInfo
        Write-Host "Word Version: $($ver.FileVersion) | Build: $($ver.FileBuildPart)"
    }
}

方法二：YARA检测规则

rule CVE_2026_40361_Suspicious_Docx {
    meta:
        description = "Detects suspicious .docx files potentially targeting CVE-2026-40361"
        author = "Security Research"
        date = "2026-05-26"
        cve = "CVE-2026-40361"

    strings:
        // 检测包含异常OLE对象引用的docx文件
        $s1 = /PK\x03\x04/
        $s2 = /\[Content_Types\].xml/
        $s3 = /word\/document\.xml/
        // 异常的文档结构特征（释放后利用通常涉及复杂对象引用）
        $pattern1 = /<w:object[^>]*>/ ascii wide
        $pattern2 = /<o:OLEObject[^>]*>/ ascii wide

    condition:
        uint16(0) == 0x4B50 and
        $s2 and $s3 and
        2 of ($pattern1, $pattern2)
}

网络层检测建议

# Splunk检测查询 - 检测可疑的Outlook附件活动
index=proxy sourcetype="webproxy" (file_name="*.docx" OR file_ext="docx")
    | where dest_port=443 AND src_user!=""
    | stats count by src_user, dest_host, file_name
    | where count > 3
    | sort -count

# 检测Office Word异常崩溃事件
index=windows sourcetype="WinEventLog:Application"
    (source="Application" EventCode=1000)
    | where image_path="*WINWORD.EXE*"
    | stats count by computer, image_path

五、修复建议与缓解方案

紧急程度评估

修复方案

方案一：安装微软安全更新（推荐）

1. Microsoft 365 Apps（C2R）：确保自动更新已启用
2. Office MSI版本：通过WSUS/SCCM推送以下更新：

   • 访问 Microsoft Update Catalog^[1]
   • 搜索2026年5月Office安全更新
   • 部署至所有受影响终端

方案二：临时缓解措施

1. 禁用Outlook阅读窗格（降低风险，但影响用户体验）
   Outlook → 视图 → 关闭阅读窗格

2. 禁用Windows资源管理器预览窗格
   资源管理器 → 视图 → 取消勾选"预览窗格"

3. 配置Office文件阻止策略（Group Policy）
   路径：用户配置 → 管理模板 → Microsoft Office 2016 → 安全设置
   启用"文件阻止" → 设置.docx文件为"打开时警告"

方案三：网络层防护

# 邮件网关规则
- 对.docx附件启用沙箱检测
- 隔离来自未知发件人的.docx文件
- 启用Office宏策略（虽然此漏洞不依赖宏，但减少攻击面）

六、相关链接

同批次重点漏洞速查

CVE-2026-40361再次证明：预览≠安全。Office文档渲染引擎作为Outlook和资源管理器的共享组件，其安全性决定了整个Windows办公生态的安全下限。对于安全团队而言，MSI安装的Office补丁延迟才是真正的战场——检查你的补丁覆盖范围，确保没有被遗忘的终端。

圈子介绍

现任职于某头部网络安全企业攻防研究部，核心红队成员。2021-2023年间累计参与40+场国家级、行业级攻防实战演练，精通漏洞挖掘、红蓝对抗策略制定、恶意代码分析、内网横向渗透及应急响应等技术领域。在多次大型演练中，主导突破多个高防护目标网络，曾获”最佳攻击手””突出贡献个人”等荣誉。

已产出的安全工具及成果包括：

• 多款主流杀软通杀工具（兼容卡巴斯基、诺顿、瑞星、360等终端防护，无感知运行，突破多引擎联合检测）
• XXByPassBehinder v1.1 冰蝎免杀生成器（定制化冰蝎免杀工具，绕过主流终端防护与EDR动态检测，支持自定义载荷）
• 哥斯拉二开免杀定制版（二开优化，深度免杀，突破终端防护与EDR检测，适配多场景植入）
• NeoCS4.9终极版（高级免杀加载工具，强化载荷注入与进程劫持，适配多系统版本，无兼容问题）
• WinDump_免杀版（浏览器凭证窃取工具，支持Chrome/Edge/Firefox等主流浏览器，一键提取敏感数据，免杀过防护）_
• _DumpBrowser_V1_免杀版（浏览器凭证窃取工具，专攻浏览器密码、Cookie、历史记录提取，免杀性能拉满）
• fscan二开版（二开优化内网扫描工具，增强指纹精度、弱口令爆破与结果标准化输出，适配复杂内网）
• RingQ加载器二开版（二开优化免杀加载器，支持Shellcode内存执行，绕过各类终端防护与EDR检测）
• 多款免杀Webshell集合（覆盖PHP/JSP/ASPX，过主流WAF与终端防护，适配不同Web场景）
• 免杀360专属加载器（支持Shellcode内存执行，针对性绕过360全系防护检测，无感知运行）
• 一键Kill 火绒 defender 工具 HDKiller（包含源码）
• win11 一键kill 360工具 InjectKill（包含源码）
• win11 一键kill defender工具win11_df-killer（包含源码）
• 免杀火绒6.0内存防护加载器BypassMemLoader

后续将不断更新到内部圈子中 欢迎加入圈子

引用链接