Microsoft выпустила крупнейший пакет исправлений за всю историю «вторников обновлений». Релиз от 14 июля 2026 года охватывает 622 уязвимости в Windows, Office, SharePoint Server, Active Directory, Exchange Server, Hyper-V, SQL Server, Defender, Azure, Copilot, Visual Studio и других продуктах. Две ошибки успели попасть в реальные атаки до появления патчей. Ещё одна уязвимость, связанная с BitLocker, была раскрыта публично.
Главный приоритет для администраторов — серверы SharePoint и инфраструктура Active Directory Federation Services. Обе атакуемые уязвимости уже внесены в каталог известных эксплуатируемых ошибок CISA. Формальная оценка одной из них составляет всего 5,3 балла из 10, но для взлома не нужны учётная запись, действия пользователя или доступ к локальной сети.
Исследователи расходятся в итоговых цифрах. Cisco Talos и SecurityWeek насчитали 622 уязвимости, Zero Day Initiative — 621 новую запись CVE, а Tenable включила в основной выпуск 569 ошибок: 56 критических, 510 важных и три умеренной опасности. Разница возникла из-за методики учёта продуктов, облачных служб и записей, включённых в конкретные выборки. Масштаб релиза от этого не меняется: июльский выпуск более чем вдвое превысил предыдущий рекорд.
В Windows исправлено 416 уязвимостей, в семействе Office — 164. Ошибки повышения привилегий составляют около 43,8% основного набора Tenable, уязвимости удалённого выполнения кода — 25,1%. Патчи также получили .NET, ASP.NET Core, GitHub Copilot, Microsoft 365 Copilot, Dynamics 365 Business Central, Minecraft Bedrock Dedicated Server, драйверы Windows, DHCP, RDP и компоненты виртуализации.
CVE-2026-56155 затрагивает службы федерации Active Directory, или AD FS. Этот компонент обеспечивает единый вход и передачу данных об идентификации между внутренней инфраструктурой организации и внешними приложениями. Ошибка получила 7,8 балла CVSS и позволяет авторизованному локальному пользователю повысить привилегии до уровня администратора. Microsoft Detection and Response Team обнаружила её при расследовании реальных атак.
Проблема связана с разрешениями контейнера Distributed Key Manager — распределённого хранилища ключей. AD FS держит там симметричные ключи, защищающие закрытые ключи сертификатов подписи и шифрования токенов. Слишком широкие права чтения позволяют атакующему извлечь ключевой материал, расшифровать закрытый ключ подписи и потенциально создавать доверенные токены от имени федеративной службы. Украденный ключ способен открыть путь к приложениям, которые доверяют скомпрометированной инфраструктуре AD FS.
Установка июльского обновления запускает первый этап защиты, но не исправляет опасные разрешения автоматически. Служба AD FS проверяет список управления доступом при каждом запуске и затем каждые 24 часа. При обнаружении слабой конфигурации в журнале AD FS Admin появляется событие с кодом 1132. Администратор должен изучить его и отдельно скорректировать разрешения контейнера DKM. Простого статуса «обновление установлено» в этом случае недостаточно.
Вторая используемая в атаках ошибка получила номер CVE-2026-56164. Она присутствует в SharePoint Server 2016, SharePoint Server 2019 и SharePoint Server Subscription Edition. Причина — отсутствие проверки подлинности при обращении к критической функции. Удалённому атакующему не нужна учётная запись, а эксплуатация не требует действий пользователя и относится к атакам низкой сложности.
Microsoft оценила проблему в 5,3 балла CVSS, поскольку заявленный прямой ущерб ограничен изменением данных. Уязвимость уже применяют, она доступна по сети и может стать первым звеном более длинной цепочки. Серверы SharePoint часто хранят внутренние документы, данные проектов, списки сотрудников и сведения о структуре организации. Полученные права можно использовать для развития атаки внутри корпоративной сети.
CISA внесла CVE-2026-56164 в каталог известных эксплуатируемых уязвимостей 14 июля и установила для американских федеральных ведомств срок устранения до 17 июля 2026 года. Ведомство пометило эксплуатацию как активную и потенциально автоматизируемую.
Временную защиту может дать интеграция SharePoint с Antimalware Scan Interface — интерфейсом проверки содержимого на вредоносный код. AMSI анализирует опасные POST-запросы и способен обнаруживать часть попыток эксплуатации. Этот механизм не заменяет обновление, особенно для серверов, доступных из интернета.
CVE-2026-50661 затрагивает механизм шифрования BitLocker. Информация об ошибке появилась до выпуска патча, поэтому она считается публично раскрытой уязвимостью нулевого дня. Microsoft присвоила ей 6,1 балла CVSS и считает успешную эксплуатацию маловероятной.
Атакующему требуется физический доступ к компьютеру. Риск особенно важен для потерянных ноутбуков, рабочих станций в общедоступных помещениях и устройств, которые организация передаёт на ремонт или утилизацию. Microsoft не подтвердила связь CVE-2026-50661 с ранее опубликованными исследованиями BitLocker.
Самая высокая оценка в июльском наборе досталась CVE-2026-57092 в Windows VMSwitch — виртуальном коммутаторе Hyper-V. Ошибка обращения к освобождённой памяти позволяет пользователю с низкими правами выйти за границы виртуальной машины и получить контроль над хостом. Уязвимость получила 9,9 балла CVSS.
Для операторов виртуализации это один из главных патчей месяца. Компрометация хоста способна поставить под угрозу остальные виртуальные машины, подключённые хранилища и управляющую инфраструктуру. Публичных данных об атаках через CVE-2026-57092 пока нет, но потенциальный ущерб требует ускоренного тестирования обновления.
Две другие критические ошибки SharePoint, CVE-2026-50522 и CVE-2026-58644, связаны с небезопасной десериализацией недоверенных данных. Обе получили 9,8 балла и позволяют удалённо выполнить код без проверки подлинности и участия пользователя. Один из вариантов атаки демонстрировали на соревновании Pwn2Own Berlin.
CVE-2026-55008 описана как подмена данных в Exchange Server, однако технически представляет собой хранимую XSS-уязвимость. Злоумышленник отправляет специально подготовленное письмо. При его открытии в Outlook Web Access внедрённый JavaScript выполняется в браузерном сеансе пользователя. Вложения, макросы и дополнительные подтверждения не требуются. Ошибка получила 9,6 балла CVSS.
Такой сценарий может использовать активный сеанс жертвы для выполнения действий в веб-интерфейсе, доступа к доступным данным и дальнейшего обмана пользователя. Приоритет обновления особенно высок для организаций, которые публикуют Outlook Web Access во внешней сети.
CVE-2026-56190 в протоколе удалённого рабочего стола позволяет выполнить код через специально сформированный сетевой трафик. Проверка подлинности и действия пользователя не нужны. Причиной стала работа с неинициализированным ресурсом, из-за которой атакующий может повредить память процесса. Открытые в интернет серверы RDP остаются первыми кандидатами на проверку.
Для DHCP Server и DHCP Client Microsoft выпустила исправления девяти уязвимостей. Пять получили критическую оценку. CVE-2026-50518 в сервере DHCP имеет 9,8 балла, допускает удалённое выполнение кода и отнесена к ошибкам с повышенной вероятностью появления рабочего эксплойта. Ещё несколько проблем затрагивают обработку сетевых пакетов и управление памятью.
CVE-2026-56188 в сетевом драйвере Windows Server также получила 9,8 балла. Ошибка состояния гонки может привести к удалённому выполнению привилегированного кода без участия пользователя. Надёжная эксплуатация подобных ошибок обычно сложнее обычного переполнения буфера, но сетевой вектор и высокий уровень получаемых прав не позволяют отложить патч.
Критическую CVE-2026-55944 нашли в локальных версиях Dynamics NAV и Dynamics 365 Business Central. Специально подготовленный запрос входа запускает небезопасную десериализацию и позволяет выполнить код без учётной записи. Microsoft оценивает появление атак как более вероятное.
Даже Minecraft Bedrock Dedicated Server получил собственную критическую CVE-2026-55010. Переполнение буфера в куче открывает путь к удалённому выполнению кода без проверки подлинности. Обновление требуется публичным игровым серверам и корпоративным учебным средам, где Minecraft используется для занятий или внутренних мероприятий.
Отдельное исследование Rapid7 раскрывает CVE-2026-55040 — критический обход проверки подлинности SharePoint с оценкой 9,1 балла. Удалённый атакующий может выдать себя за известного пользователя или администратора сайта, если знает его имя входа либо идентификатор безопасности Active Directory.
Исследователи объединили CVE-2026-55040 со второй ошибкой и получили удалённое выполнение кода без учётной записи. Июльский патч закрывает обход проверки подлинности и разрушает готовую цепочку. Исправление второй ошибки выполнения кода ожидается в августовском цикле. Значительная часть работы по поиску цепочки выполнялась с помощью ИИ-агента: за 24 активных дня исследователи провели 96 сеансов и запустили около 80 тысяч инструментальных операций.
Microsoft заранее предупредила, что ежемесячные пакеты станут крупнее. Компания внедряет искусственный интеллект в поиск ошибок, анализ сбоев, подготовку вариантов исправлений и подбор регрессионных тестов. Инженеры при этом сохраняют контроль над проверкой кода.
Система MDASH использует несколько моделей и ИИ-агентов для анализа сложных участков кода. На закрытом тестовом драйвере она обнаружила все 21 заранее добавленную уязвимость без ложных срабатываний в конкретном испытании. Ранее технология помогла найти 16 ошибок в сетевом стеке Windows и соседних службах.
Рост числа исправлений сам по себе не означает, что продукты Microsoft внезапно стали в несколько раз опаснее. Скорость поиска повысилась, а ошибки, которые раньше могли оставаться незамеченными годами, начали попадать в один цикл обновлений. Та же автоматизация доступна исследователям и разработчикам эксплойтов, поэтому разрыв между публикацией CVE и появлением атак сокращается.
Вопросы и ответы
Почему в заголовке указано 622, если некоторые компании насчитали 569?
Разные исследователи используют собственные фильтры и наборы продуктов. Cisco Talos и SecurityWeek учитывают 622 уязвимости, ZDI — 621 новую CVE, Tenable — 569 записей основного выпуска. Для сравнения динамики лучше придерживаться одной методики.
Какую уязвимость нужно закрывать первой?
Приоритет зависит от инфраструктуры. Доступные из интернета SharePoint Server с CVE-2026-56164 требуют немедленного обновления. Серверы AD FS с CVE-2026-56155 также входят в первую очередь, причём после установки патча нужно проверить журнал событий и права контейнера DKM.
Почему CVE-2026-56164 опасна при оценке всего 5,3 балла?
Её уже используют в атаках. Ошибка доступна по сети, имеет низкую сложность эксплуатации, не требует учётной записи и действий пользователя. CVSS оценивает заявленный технический ущерб отдельной ошибки, но не всегда учитывает ценность уязвимости внутри цепочки взлома.
Достаточно ли установить июльское обновление на AD FS?
Нет. Обновление включает режим аудита и начинает искать небезопасные разрешения контейнера DKM. Автоматического исправления на первом этапе нет. Появление события 1132 означает, что администратору нужно вручную проверить и укрепить список управления доступом.
Уязвимость BitLocker позволяет взломать компьютер удалённо?
Опубликованные данные указывают на необходимость физического доступа к устройству. Удалённая эксплуатация CVE-2026-50661 не заявлена. Риск важен для потерянных, украденных или переданных третьим лицам компьютеров.
Почему Microsoft выпускает так много исправлений?
Компания ускоряет поиск ошибок с помощью нескольких ИИ-моделей и агентных систем. Такие инструменты анализируют большие участки кодовой базы, ищут связанные дефекты и помогают инженерам готовить исправления и тесты. Microsoft ожидает дальнейшего роста объёма ежемесячных пакетов.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.