
微软今天发布了其史上规模最大的Patch Tuesday更新,其中两个补丁修复了攻击者正在利用的漏洞。根据微软安全更新指南统计,本次更新涵盖微软自身的622个CVE,是此前6月约200个纪录的三倍多。
需要优先关注的是两个已遭利用的漏洞。微软将这两个漏洞的发现归功于事件响应团队。它们都是身份与协作基础设施中的权限提升漏洞:CVE-2026-56164(本地SharePoint Server)和CVE-2026-56155(Active Directory Federation Services)。
这两个漏洞并非常见的远程代码执行关键漏洞,而是两个系统中比评分所显示更重要的权限漏洞:一个是公司的文档存储系统,另一个是签署登录凭证的服务。
需要优先修补的两个0Day漏洞
CVE-2026-56164是一个SharePoint Server漏洞,微软表示攻击者正在利用它。该漏洞允许未经身份验证的攻击者通过网络提升权限,无需凭据、无需用户交互,可远程利用。微软将发现归功于Mandiant的事件响应团队和Google的FLARE团队,这表明该漏洞是在实际攻击中被发现的。微软尚未透露其利用方式或攻击者身份。
如果你运行自托管SharePoint,这个漏洞需要优先修补,而且还有一个时间限制:今天也是SharePoint Server 2016和2019扩展支持终止的日子。与Windows Server或SQL Server不同,这两个版本没有付费的ESU计划作为后备。
除了修补,微软的公告指出,在服务器上启用完整模式下的AMSI可以减弱攻击。自2025年ToolShell链肆虐未修补服务器以来,SharePoint一直是攻击者的目标,至今仍是热点。
CVE-2026-56155是微软同样标记为已遭利用的Active Directory Federation Services漏洞。它允许已通过身份验证的攻击者通过弱访问控制机制在本地提升权限。微软自己的DART事件响应团队获得了发现致谢
AD FS是签署整个企业信任链中令牌的服务,因此一个标记为"本地"的漏洞实际上值得比标签所示更多的关注。微软尚未说明该漏洞授予何种权限,也未说明攻击者如何利用它。
对于关注修复截止日期的人来说,值得了解的一点是:截至本文撰写时,这两个CVE均未出现在CISA的已知被利用漏洞目录中。微软自身的可利用性评级已将其标记为被利用。不要等待KEV列表来确认事实。
微软还将SharePoint漏洞的严重性评级定得相当低,这提醒我们本月的严重性标签并非排序依据。
第三个漏洞与SharePoint链
第三个0Day漏洞已被公开披露,但尚未遭受攻击:CVE-2026-50661,这是另一个BitLocker绕过漏洞。它需要物理访问设备,因此并非远程紧急情况。可以修补,但不必优先处理。该漏洞延续了今年早些时候bitskrieg和YellowKey以来的一系列BitLocker绕过漏洞。
SharePoint还有另一个值得关注的修复。Rapid7 Labs披露了CVE-2026-55040,这是一个他们为Pwn2Own柏林挑战构建的JWT认证绕过漏洞。评分因机构而异:Rapid7将其评为5.3分,微软将其定为中等严重性,而ZDI则认为该漏洞是9.1分的严重漏洞。
该漏洞的功能没有争议。Rapid7将其与另一个单独的远程代码执行漏洞链接,从而实现对易受攻击服务器的未认证RCE,而RCE部分尚未修补;微软计划在8月修复它。
因此,7月的补丁是破坏这条链条的关键。同一个漏洞的评分相差4分,也说明了这个月严重性数字的实际价值。
可能导致登录失败的RC4清理
本次更新还完成了微软多年来对Kerberos RC4的加固工作。7月更新移除了RC4DefaultDisablementPhase回滚开关,这是自微软1月开始收紧策略以来管理员依赖的逃生舱。
此后,RC4仅适用于明确配置允许该协议的帐户。如果你的环境中任何服务帐户仍请求RC4 Kerberos票证,则在更新部署后认证可能会失败。
顺序很重要:首先使用微软在1月添加的RC4审核事件进行审计,然后轮换被标记的服务帐户密码,以便Windows为其生成AES密钥,最后再打补丁。轮换仅修复缺少AES密钥的帐户。
任何因配置而固定使用RC4的帐户,或仅支持RC4的旧客户端,都必须在更新部署前自行修复。这个漏洞不会导致被攻破,但会引发故障;如果你跳过了审计,它会在凌晨2点给你打电话。
为什么一个平静的月份却创下纪录
从历史上看,7月是微软补丁量最少的月份之一,因此本次发布规模尤为突出。622个CVE中,仅Windows就占了416个。ZDI统计本次发布中共有95个远程代码执行漏洞。
以下是其他产品家族的分布情况,以及值得关注的要点:

数据来自微软安全更新指南,本月共计622个独特CVE。ZDI独立统计得到621个,其7月回顾报告是上述产品家族分类的来源。
微软提前五天发布了本次更新。在7月9日的帖子中,微软告诉客户,随着AI帮助发现更多问题,预计"每次安全发布中包含的安全更新数量会增加"。这项工作包括其多模型Agentic扫描系统MDASH,该系统在5月的补丁星期二中独自发现了16个漏洞。微软尚未透露7月622个漏洞中有多少来自该流程。
同样的自动化也带来双刃剑。一旦补丁发布,攻击者可以将其与上一个版本进行差异分析,找到其修复的漏洞,并在大多数组织完成测试之前构建出可用的利用程序。这打破了旧有的"等待一周"的安全缓冲,将差距缩短到"漏洞利用星期三"。
这也削弱了基于CVSS的优先级排序。当一次发布包含600多个CVE,且其中很大一部分被评为高危或严重时,"严重"一词便失去了区分作用。本月两个被利用的漏洞就说明了这一点:它们都不是9.8分的头条漏洞,而是中等级别的权限漏洞,但都已经在攻击中被使用。
请根据被利用情况(使用KEV、EPSS和微软的被利用标志)而非评分来进行排序,并且要比以往更快地打补丁。盒子上的数字只会越来越大。