Novinky

Microsoft Patch Tuesday: rekordních 622 záplat a dva zero-days v SharePointu a AD FS

Novinky Date: Zobrazení: 5

Microsoft Patch Tuesday: rekordních 622 záplat a dva zero-days v SharePointu a AD FS

Microsoft oznámil červencový Patch Tuesday jako mimořádný a sám to předznamenal pět dní předem: v příspěvku z 9. července informoval, že počty záplat porostou, protože AI asistuje při hledání zranitelností rychleji než kdy dřív. Výsledek je 622 unikátních CVE, z nichž 95 je kategorie Remote Code Execution a dvě se již aktivně zneužívají v reálných útocích.

Oba exploitované zero-days jsou chyby eskalace privilegií v infrastruktuře, která je pro firemní prostředí zásadní. CVE-2026-56164 v on-premises SharePoint Serveru umožňuje neautentizovanému útočníkovi eskalovat privilegia přes síť – bez přihlášení, bez interakce uživatele. Microsoft získal informaci o zneužívání od incident responderů z Mandiant a Google FLARE, kteří chybu odhalili v průběhu aktivních útoků. Záplata by měla být prioritou pro každého, kdo provozuje SharePoint lokálně; Internet-facing instance jsou v bezprostředním ohrožení. SharePoint se navíc v červenci 2026 dostává do konce extended support pro verze 2016 a 2019, přičemž žádný placený ESU program (jaký existuje pro Windows nebo SQL Server) není dostupný. To dále zužuje okno pro odkládání záplat.

CVE-2026-56155 v Active Directory Federation Services umožňuje autentizovanému útočníkovi lokálně eskalovat privilegia přes chybné řízení přístupů. Chybu odhalil Microsoft DART při vyšetřování incidentů. AD FS podepisuje tokeny pro celou infrastrukturu důvěry organizace; chyba označená jako „lokální" je na tomto hostu nebezpečnější, než label napovídá. Microsoft nezveřejnil, jaká privilegia útočník získá ani jak konkrétně je chyba zneužívána.

Třetí zero-day – CVE-2026-50661 v BitLockeru – je veřejně znám, ale dosud není zneužíván. Vyžaduje fyzický přístup k zařízení, záplatu dostat musí, ale neovlivňuje pořadí priorit vzdáleně přístupných systémů.

Image

SharePoint přinesl i čtvrtý zajímavý případ. Rapid7 zveřejnil CVE-2026-55040, obejití autentizace přes JWT token, které vytvořil pro soutěž Pwn2Own Berlin a kombinoval ho s RCE zranitelností do plného řetězce neautentizovaného vzdáleného spuštění kódu. Záplata z tohoto Patch Tuesday rozbíjí první článek řetězce; druhá část (RCE) bude opravena teprve v srpnu. Je tedy nutné aplikovat červencovou záplatu jako preventivní opatření ještě před úplným uzavřením řetězce.

Červencový release zahrnuje 416 CVE ve Windows (z toho VMSwitch RCE CVE-2026-57092 s CVSS 9.9, pět RCE v DHCP a 21 chyb v NTFS a ReFS ovladačích sdílejících pravděpodobně jeden kořenový problém), 82 CVE v Office, 46 v Edge, 17 v SharePointu, pět v Exchange (včetně stored XSS CVE-2026-55008 v Outlook Web Access s CVSS 9.6, přestože Microsoft klasifikuje chybu jen jako spoofing) a pět v Defenderu.

Červenec také uzavírá víceletou hardening kampaň Kerberos RC4. Tato záplata odstraňuje záchranný přepínač RC4DefaultDisablementPhase, kterým mohli administrátoři dosud od zastaralého RC4 vracet servisní účty zpět. Po instalaci záplaty bude RC4 fungovat výhradně pro účty s explicitní konfigurací. Servisní účty nebo legacy klienti, kteří dosud vyžadují RC4 Kerberos, mohou po záplatování přestat fungovat. Správný postup je auditovat dotčené účty ještě před záplatováním, rotovat hesla na flagovaných servisních účtech (čímž se vygenerují AES klíče) a teprve poté záplatu aplikovat.

Rekordní počet záplat a stále kratší čas od záplaty k funkčnímu exploitu – útočníci zpětnou analýzou opravy naleznou chybu rychleji, než dřív stíhaly firmy záplatu otestovat – mění způsob, jakým by měla být záplatovací prioritizace nastavena. CVSS skóre samo o sobě letos nestačí k rozhodnutí: oba exploitované zero-days jsou mid-tier privilegiální chyby, nikoli 9.8. Prioritou by měl být seznam CISA KEV, příznak „exploited in the wild" v Microsoft Security Update Guide a skóre EPSS, nikoli seřazení podle CVSS od nejvyššího.

Další články