Рекордный вторник патчей: Microsoft закрывает 622 дыры и две активные атаки

Такого июля Microsoft ещё не выпускала. Компания закрыла 622 уязвимости за один Patch Tuesday — это более чем втрое превышает прежний июньский рекорд, который держался на отметке около 200 CVE. Независимый подсчёт исследователей из Zero Day Initiative дал почти идентичную цифру — 621. Обычно июль считается одним из самых спокойных месяцев в календаре Microsoft, поэтому масштаб релиза выбивается из всякой логики предыдущих лет. Две из этих уязвимостей уже эксплуатируются злоумышленниками прямо сейчас, и именно на них стоит смотреть в первую очередь, а не на общую цифру.
Первая — CVE-2026-56164, брешь в локальном SharePoint Server, позволяющая повысить привилегии. Атакующему не нужны учётные данные, не нужно взаимодействие с пользователем — эксплуатация идёт удалённо по сети. Обнаружили проблему специалисты реагирования на инциденты из Mandiant вместе с командой Google FLARE. Microsoft не раскрыла ни методику атаки, ни кто за ней стоит, а формальная оценка серьёзности оказалась довольно низкой — несмотря на подтверждённую эксплуатацию в реальных условиях. Смягчить риск можно включением AMSI в полном режиме на сервере. SharePoint остаётся лакомой целью для атакующих ещё с 2025 года, когда цепочка ToolShell прошлась по непропатченным серверам. Есть и отягчающее обстоятельство: именно сегодня, в день выхода патча, заканчивается расширенная поддержка SharePoint Server 2016 и 2019. В отличие от Windows Server или SQL Server, для этих версий не предусмотрена платная программа ESU — то есть после сегодняшнего дня новых патчей для них попросту не будет.
Вторая активная уязвимость — CVE-2026-56155, повышение привилегий в Active Directory Federation Services. Здесь злоумышленнику уже нужна учётная запись в системе, но дальше он локально повышает привилегии из-за слабых механизмов контроля доступа. Об уязвимости сообщила собственная команда реагирования Microsoft — DART. Компания снова умолчала о деталях: какие именно привилегии получает атакующий и как это было использовано на практике. Слово «локально» здесь обманчиво — AD FS подписывает токены, которым доверяет вся инфраструктура организации, поэтому масштаб последствий может быть куда шире, чем предполагает формулировка.
Важный нюанс: ни одна из этих двух уязвимостей на момент написания материала не числится в каталоге известных эксплуатируемых уязвимостей CISA (KEV). При этом собственная оценка эксплуатируемости Microsoft уже помечает обе как активно используемые. Ждать появления записи в KEV не стоит — обе проблемы нужно закрывать немедленно. Показательно, что ни одна из этих двух уязвимостей не относится к громким RCE с высоким баллом CVSS — это скорее уязвимости среднего уровня, связанные с привилегиями. Оценка серьёзности в этом месяце явно не тот показатель, по которому стоит расставлять приоритеты.
Есть и третий нулевой день, уже раскрытый публично, но пока не замеченный в атаках — CVE-2026-50661, обход BitLocker. Для эксплуатации требуется физический доступ к устройству, так что это не экстренная ситуация, требующая немедленных действий, хотя патч всё равно стоит установить. Это уже не первый обход BitLocker в этом году — ранее были похожие истории с именами bitskrieg и YellowKey.
Отдельного внимания заслуживает цепочка уязвимостей в SharePoint, раскрытая исследователями Rapid7 Labs — CVE-2026-55040, обход аутентификации через JWT-токены. Изначально её подготовили для участия в соревновании Pwn2Own в Берлине. Вокруг оценки серьёзности возник спор: Rapid7 присвоила ей всего 5.3 балла (Microsoft тоже называет её «средней»), а вот ZDI оценивает уязвимость в 9.1 балла — то есть как критическую. Разница объясняется тем, что Rapid7 связала эту уязвимость с отдельным багом класса RCE, получив в итоге удалённое выполнение кода без аутентификации. Проблема в том, что вторая половина цепочки — сама RCE-уязвимость — пока не исправлена, Microsoft планирует закрыть её только в августе. Июльский патч разрывает цепочку, но полная защита появится лишь со следующим релизом.
Отдельная и довольно масштабная история этого выпуска — завершение многолетней работы Microsoft по ужесточению правил использования Kerberos с шифрованием RC4. Из системы убрали переключатель отката RC4DefaultDisablementPhase, которым администраторы пользовались как аварийным люком с января, когда начался этап отказа от устаревшего протокола. После установки этого обновления RC4 будет работать только для учётных записей, явно настроенных на его использование. Риск очевиден: любая служебная учётная запись, которая всё ещё запрашивает Kerberos-билеты по RC4, может немедленно перестать проходить аутентификацию сразу после установки патча. Рекомендуемый порядок действий такой: сначала провести аудит с использованием событий аудита RC4, добавленных Microsoft ещё в январе, затем сменить пароли для помеченных служебных учётных записей, чтобы Windows сгенерировала для них ключи AES, и только после этого ставить сам патч. Важно понимать: смена пароля решает проблему только для учётных записей, которым просто не хватает ключей AES — а вот записи, жёстко привязанные к RC4 конфигурацией или устаревшими клиентами, которые вообще не умеют работать иначе, нужно чинить отдельно и заранее, до установки обновления. Как метко заметил один из аналитиков, эта проблема не приведёт ко взлому — она просто всё сломает, и если пропустить аудит, разбираться с последствиями придётся посреди ночи.
Основная масса уязвимостей пришлась на Windows — 416 из 622 CVE. По подсчётам ZDI, во всём релизе набралось 95 уязвимостей класса удалённого выполнения кода. Внутри самой Windows нашлось место и для AD FS-зеродея CVE-2026-56155, и для обхода BitLocker CVE-2026-50661, а самый высокий балл всего релиза достался уязвимости VMSwitch — CVE-2026-57092 с оценкой 9.9. Там же обнаружилось пять RCE-уязвимостей в DHCP и 21 проблема в драйверах NTFS и ReFS, которые в ZDI объединили под одной общей первопричиной.
Office отметился 82 уязвимостями, но Microsoft зачем-то дублирует их под отдельным треком для Office 2016 — из-за этого некоторые издания успели отчитаться о 164 проблемах вместо реальных 82. Microsoft Edge получил 46 записей, хотя из них, по оценке ZDI, лишь 21 действительно относится к коду самой Microsoft, остальное — переучтённые уязвимости Chromium. В инструментах разработчика — Visual Studio, VS Code, GitHub Copilot — нашлось 27 обходов защитных функций, в основном связанных с инъекциями и обходом путей. SharePoint Server получил 17 записей, включая уже упомянутый зеродей и цепочку Rapid7, плюс пару критических RCE, среди которых CVE-2026-50522 с оценкой 9.8. В Azure закрыли 11 уязвимостей без пометки срочности, в SQL Server — восемь, включая пару RCE с одинаковым баллом 8.8 (CVE-2026-54117 и CVE-2026-54118). Defender получил пять исправлений, из них две критические RCE. В Exchange Server нашли пять проблем, среди которых хранимая XSS в Outlook Web Access — CVE-2026-55008 с баллом 9.6, которую Microsoft почему-то классифицировала как «спуфинг», занизив тем самым восприятие её реальной опасности.
За пять дней до релиза, 9 июля, Microsoft опубликовала предупреждение, что клиентам стоит готовиться к «более высокому объёму обновлений безопасности в каждом релизе», поскольку искусственный интеллект помогает находить больше проблем. Речь идёт об инструменте MDASH — многомодельной агентной системе сканирования Microsoft, которая в мае самостоятельно нашла 16 уязвимостей в рамках майского Patch Tuesday. Сколько именно из июльских 622 CVE было обнаружено через этот ИИ-конвейер, компания не раскрывает.
У этой автоматизации есть обратная сторона. Атакующие тоже научились сравнивать патчи с предыдущими версиями сборок, находя исправленные уязвимости и создавая эксплойты быстрее, чем защитники успевают протестировать сами патчи. Это сокращает традиционное «окно безопасности» в неделю, которое раньше давали себе администраторы перед установкой обновлений, приближая ситуацию к тому, что можно назвать «эксплойт-средой» вместо привычного «вторника патчей». При таком объёме — больше 600 уязвимостей, многие из которых помечены как High или Critical — слово «критическая» практически перестаёт что-то значить как ориентир. Оба реально эксплуатируемых в этом месяце бага — прямое тому доказательство: ни один из них не тянет на громкий заголовок с баллом 9.8, оба — уязвимости среднего уровня, связанные с привилегиями, и оба уже используются в атаках.
Из этого следует единственный разумный подход к приоритизации: сортировать уязвимости не по баллу CVSS, а по факту реальной эксплуатации — опираясь на каталог KEV, показатель EPSS и собственную пометку Microsoft об активной эксплуатации. И патчить быстрее, чем это было принято раньше, потому что число уязвимостей в подобных релизах, судя по всему, будет только расти.


Новое на сайте

Ссылка