微软发布创纪录的622个补丁,包含两个正被利用的0Day漏洞

微软发布创纪录的622个补丁,包含两个正被利用的0Day漏洞
微软今天发布了其史上规模最大的Patch Tuesday更新其中两个补丁修复了攻击者正在利用的漏洞。根据微软安全更新指南统计本次更新涵盖微软自身的622个CVE是此前6月约200个纪录的三倍多。需要优先关注的是两个已遭利用的漏洞。微软将这两个漏洞的发现归功于事件响应团队。它们都是身份与协作基础设施中的权限提升漏洞CVE-2026-56164本地SharePoint Server和CVE-2026-56155Active Directory Federation Services。这两个漏洞并非常见的远程代码执行关键漏洞而是两个系统中比评分所显示更重要的权限漏洞一个是公司的文档存储系统另一个是签署登录凭证的服务。需要优先修补的两个0Day漏洞CVE-2026-56164是一个SharePoint Server漏洞微软表示攻击者正在利用它。该漏洞允许未经身份验证的攻击者通过网络提升权限无需凭据、无需用户交互可远程利用。微软将发现归功于Mandiant的事件响应团队和Google的FLARE团队这表明该漏洞是在实际攻击中被发现的。微软尚未透露其利用方式或攻击者身份。如果你运行自托管SharePoint这个漏洞需要优先修补而且还有一个时间限制今天也是SharePoint Server 2016和2019扩展支持终止的日子。与Windows Server或SQL Server不同这两个版本没有付费的ESU计划作为后备。除了修补微软的公告指出在服务器上启用完整模式下的AMSI可以减弱攻击。自2025年ToolShell链肆虐未修补服务器以来SharePoint一直是攻击者的目标至今仍是热点。CVE-2026-56155是微软同样标记为已遭利用的Active Directory Federation Services漏洞。它允许已通过身份验证的攻击者通过弱访问控制机制在本地提升权限。微软自己的DART事件响应团队获得了发现致谢AD FS是签署整个企业信任链中令牌的服务因此一个标记为“本地”的漏洞实际上值得比标签所示更多的关注。微软尚未说明该漏洞授予何种权限也未说明攻击者如何利用它。对于关注修复截止日期的人来说值得了解的一点是截至本文撰写时这两个CVE均未出现在CISA的已知被利用漏洞目录中。微软自身的可利用性评级已将其标记为被利用。不要等待KEV列表来确认事实。微软还将SharePoint漏洞的严重性评级定得相当低这提醒我们本月的严重性标签并非排序依据。第三个漏洞与SharePoint链第三个0Day漏洞已被公开披露但尚未遭受攻击CVE-2026-50661这是另一个BitLocker绕过漏洞。它需要物理访问设备因此并非远程紧急情况。可以修补但不必优先处理。该漏洞延续了今年早些时候bitskrieg和YellowKey以来的一系列BitLocker绕过漏洞。SharePoint还有另一个值得关注的修复。Rapid7 Labs披露了CVE-2026-55040这是一个他们为Pwn2Own柏林挑战构建的JWT认证绕过漏洞。评分因机构而异Rapid7将其评为5.3分微软将其定为中等严重性而ZDI则认为该漏洞是9.1分的严重漏洞。该漏洞的功能没有争议。Rapid7将其与另一个单独的远程代码执行漏洞链接从而实现对易受攻击服务器的未认证RCE而RCE部分尚未修补微软计划在8月修复它。因此7月的补丁是破坏这条链条的关键。同一个漏洞的评分相差4分也说明了这个月严重性数字的实际价值。可能导致登录失败的RC4清理本次更新还完成了微软多年来对Kerberos RC4的加固工作。7月更新移除了RC4DefaultDisablementPhase回滚开关这是自微软1月开始收紧策略以来管理员依赖的逃生舱。此后RC4仅适用于明确配置允许该协议的帐户。如果你的环境中任何服务帐户仍请求RC4 Kerberos票证则在更新部署后认证可能会失败。顺序很重要首先使用微软在1月添加的RC4审核事件进行审计然后轮换被标记的服务帐户密码以便Windows为其生成AES密钥最后再打补丁。轮换仅修复缺少AES密钥的帐户。任何因配置而固定使用RC4的帐户或仅支持RC4的旧客户端都必须在更新部署前自行修复。这个漏洞不会导致被攻破但会引发故障如果你跳过了审计它会在凌晨2点给你打电话。为什么一个平静的月份却创下纪录从历史上看7月是微软补丁量最少的月份之一因此本次发布规模尤为突出。622个CVE中仅Windows就占了416个。ZDI统计本次发布中共有95个远程代码执行漏洞。以下是其他产品家族的分布情况以及值得关注的要点数据来自微软安全更新指南本月共计622个独特CVE。ZDI独立统计得到621个其7月回顾报告是上述产品家族分类的来源。微软提前五天发布了本次更新。在7月9日的帖子中微软告诉客户随着AI帮助发现更多问题预计“每次安全发布中包含的安全更新数量会增加”。这项工作包括其多模型Agentic扫描系统MDASH该系统在5月的补丁星期二中独自发现了16个漏洞。微软尚未透露7月622个漏洞中有多少来自该流程。同样的自动化也带来双刃剑。一旦补丁发布攻击者可以将其与上一个版本进行差异分析找到其修复的漏洞并在大多数组织完成测试之前构建出可用的利用程序。这打破了旧有的“等待一周”的安全缓冲将差距缩短到“漏洞利用星期三”。这也削弱了基于CVSS的优先级排序。当一次发布包含600多个CVE且其中很大一部分被评为高危或严重时“严重”一词便失去了区分作用。本月两个被利用的漏洞就说明了这一点它们都不是9.8分的头条漏洞而是中等级别的权限漏洞但都已经在攻击中被使用。请根据被利用情况使用KEV、EPSS和微软的被利用标志而非评分来进行排序并且要比以往更快地打补丁。盒子上的数字只会越来越大。