Microsoft-patches registreren 622 fouten, waaronder twee nuldagen onder actieve aanval

Microsoft heeft zijn grootste verzonden Patch dinsdag vandaag geregistreerd, en twee van de oplossingen dichten gaten waar aanvallers al misbruik van maken. De release omvat 622 van Microsofts eigen CVE’s volgens het aantal Security Update Guides, meer dan het drievoudige van het vorige record van ongeveer 200 in juni.

Deze twee levende bugs zijn degenen die je als eerste moet grijpen. Microsoft crediteert incidentresponders voor beide. Beide zijn tekortkomingen in de identiteits- en samenwerkingsinfrastructuur: CVE-2026-56164 in on-premises SharePoint Server en CVE-2026-56155 in Active Directory Federation Services.

Geen van beide is een van de spetterende kritische vereisten voor het uitvoeren van externe code. Het zijn privilegebugs in twee systemen die er meer toe doen dan hun scores doen vermoeden: de documentenopslag van het bedrijf en de box die de aanmeldingen ondertekent.

De twee zero-days om als eerste te patchen

CVE-2026-56164, een SharePoint Server-fout die volgens Microsoft wordt misbruikt bij aanvallen, zorgt ervoor dat een niet-geverifieerde aanvaller bevoegdheden over het netwerk kan escaleren. Geen inloggegevens, geen gebruikersinteractie, op afstand. Microsoft heeft het toegeschreven aan de incidentresponders van Mandiant en het FLARE-team van Google, wat wijst op ontdekkingen binnen actieve aanvallen, hoewel Microsoft niet heeft gezegd hoe het werd uitgebuit of door wie.

Als u zelf-gehoste SharePoint gebruikt, is dit degene die u als eerste moet pakken, en er staat een tweede klok op: vandaag is ook de dag dat SharePoint Server 2016 en 2019 het einde van de uitgebreide ondersteuning bereiken. In tegenstelling tot Windows Server of SQL Server heeft geen van beide een betaald ESU-programma om op terug te vallen.

Naast het patchen merkt Microsoft in het advies op dat het inschakelen van AMSI in de volledige modus op de server de aanval afzwakt. SharePoint is een aanvallersmagneet geweest sinds de ToolShell-keten in 2025 door ongepatchte servers heen scheurde, en is dat nog steeds.

CVE-2026-56155, een Active Directory Federation Services-fout die Microsoft ook markeert als misbruikt, zorgt ervoor dat een reeds geverifieerde aanvaller lokaal bevoegdheden kan verhogen via zwakke toegangscontroles. Microsofts eigen DART-incidentenresponseenheid krijgt de eer.

AD FS is de doos die de tokens tekent voor de rest van de estate trusts, en daarom is een fout met het label ‘lokaal’ op die host meer aandacht waard dan het label suggereert. Microsoft heeft niet gezegd welke rechten het verleent, of hoe aanvallers het gebruikten.

Nuttig om te weten voor iedereen die de hersteldeadlines bijhoudt: geen van beide CVE staat op het moment van schrijven in de catalogus met bekende uitgebuite kwetsbaarheden van CISA. Microsofts eigen exploiteerbaarheidsbeoordeling markeert beide al als uitgebuit. Wacht niet op een KEV-lijst om het officieel te maken.

Microsoft beoordeelt de SharePoint-bug ook vrij laag wat betreft ernst, wat een goede herinnering is dat het ernstlabel niet iets is waar je deze maand op moet sorteren.

Een derde bug en een SharePoint-keten die in augustus landt

De derde zero-day werd openbaar gemaakt maar wordt niet aangevallen: CVE-2026-50661, nog een BitLocker-bypass. Er is fysieke toegang tot het apparaat nodig, dus er is geen sprake van een noodgeval op afstand. Patch het, maar het springt niet in de wachtrij. Het zet een reeks BitLocker-bypasses voort die eerder dit jaar teruggingen tot bitskrieg en YellowKey.

SharePoint heeft een tweede opmerkelijke oplossing gevonden. Rapid7 Labs heeft CVE-2026-55040 onthuld, een JWT-authenticatiebypass die ze hebben gebouwd voor hun Pwn2Own Berlin-inzending. De score hangt af van wie je het vraagt: Rapid7 zet het op 5.3 en zegt dat Microsoft het een gemiddelde ernst heeft toegekend, terwijl ZDI de release op 9.1 als cruciaal leest.

Wat het doet, staat niet ter discussie. Rapid7 koppelde het aan een afzonderlijke bug voor het uitvoeren van externe code om niet-geverifieerde RCE te bereiken tegen een kwetsbare server, en de RCE-helft is nog niet gepatcht; Microsoft zal het probleem in augustus repareren.

Dat zorgt ervoor dat July de oplossing omzeilt die de ketting doorbreekt. Een spread van vier punten op één bug vertelt u ook wat een ernstgetal deze maand waard is.

De RC4-opruiming die logins kan verbreken

Deze update voltooit ook de meerjarige Kerberos RC4-verharding van Microsoft. Bij de uitrol in juli wordt de RC4DefaultDisablementPhase-rollback-schakelaar verwijderd, waar de beheerders van het ontsnappingsluik op hebben geleund sinds Microsoft in januari met het harde optreden begon.

Hierna werkt RC4 alleen voor accounts die expliciet zijn geconfigureerd om dit toe te staan. Als een serviceaccount in uw omgeving nog steeds RC4 Kerberos-tickets aanvraagt, kan de authenticatie mislukken op het moment dat de update binnenkomt.

De volgorde is belangrijk: eerst een audit uitvoeren, met behulp van de RC4-auditgebeurtenissen die Microsoft in januari heeft toegevoegd, en vervolgens de wachtwoorden op gemarkeerde serviceaccounts rouleren, zodat Windows er AES-sleutels voor genereert, en vervolgens patchen. Rotatie repareert alleen accounts waarbij AES-sleutels ontbreken.

Alles dat door configuratie aan RC4 is vastgemaakt, of aan een oudere client die niets anders zegt, heeft zijn eigen oplossing nodig voordat de update arriveert. Deze zorgt er niet voor dat je wordt geschonden; het maakt dingen kapot, maar het zal je om 02.00 uur oproepen als je de audit overslaat.

Waarom een ​​rustige maand een record vestigde

Juli is historisch gezien een van de lichtste maanden op de kalender van Microsoft, waardoor een release van dit formaat opvalt. Windows alleen al is verantwoordelijk voor 416 van de 622, en ZDI telt 95 fouten bij het uitvoeren van externe code in de release.

Hier is waar de rest zit, en wat de moeite waard is om uit elke stapel te halen:

Productfamilie CVE’s De moeite waard om eruit te trekken
Ramen 416 Zowel de AD FS zero-day (CVE-2026-56155) en de bekendgemaakte BitLocker-bypass (CVE-2026-50661) woon hier. Topscore van de release is een VMSwitch RCE, CVE-2026-57092 op 9.9. Ook vijf DHCP RCE’s en 21 NTFS- en ReFS-driverbugs die ZDI als één gedeelde hoofdoorzaak leest.
Kantoor 82 Eén keer geteld. Microsoft vermeldt dezelfde 82 opnieuw onder een apart Office 2016-nummer, daarom rapporteren sommige verkooppunten 164.
Microsoft Rand 46 ZDI telt er 21 als eigen vermeldingen van Microsoft en niet als Chromium-vermeldingen.
Ontwikkelaarstools 27 De beveiligingsfunctie omzeilt Visual Studio, VS Code en GitHub Copilot, voornamelijk injectie en pad-traversal.
SharePoint-server 17 De uitgebuite zero-day (CVE-2026-56164) en Rapid7’s kettingbypass (CVE-2026-55040), plus een Critical RCE-paar inclusief CVE-2026-50522 op 9.8.
Azuur 11 Niets gemarkeerd als urgent.
SQL-server 8 Een RCE-paar, CVE-2026-54117 En CVE-2026-54118beide 8,8.
Verdediger 5 Twee cruciale RCE’s.
Exchange-server 5 Een opgeslagen XSS in Outlook Web Access, CVE-2026-55008op 9.6. Microsoft archiveert het onder spoofing, waardoor het te weinig wordt verkocht.
Ander 5 Niets gemarkeerd als urgent.

De tellingen zijn afkomstig uit de Security Update Guide van Microsoft, die deze maand in totaal 622 unieke CVE’s bevat. De ZDI, onafhankelijk geteld, kwam uit op 621, en de beoordeling van juli is de bron voor de toelichtingen per gezin.

Microsoft noemde dit vijf dagen te vroeg. In een bericht van 9 juli vertelde het klanten dat ze een “groter aantal beveiligingsupdates in elke beveiligingsrelease” konden verwachten, omdat AI hen helpt meer problemen op te sporen. Dat werk omvat MDASH, het multi-model agentische scansysteem, dat zelf 16 van de bugs in de Patch Tuesday van mei heeft gevonden. Microsoft heeft niet gezegd hoeveel van de 622 van juli uit die pijplijn kwamen.

Dezelfde automatisering werkt aan twee kanten. Zodra een patch is verzonden, kunnen aanvallers deze vergelijken met de laatste build, de bug vinden die deze sluit en een werkende exploit bouwen voordat de meeste winkels klaar zijn met testen. Dat vreet het oude ‘wacht een week’-kussen op en verkleint het gat met Exploit Wednesday.

Het lef ook op CVSS gebaseerde triage. Wanneer een release meer dan 600 CVE’s bevat en een groot deel daarvan de beoordeling Hoog of Kritiek heeft, stopt ‘kritiek’ met het sorteren van iets. De twee uitgebuite bugs van deze maand maken het punt duidelijk: geen van beide is kop 9.8, beide zijn privilegefouten uit het middensegment, en beide zijn al in gebruik.

Sorteer op wat er wordt uitgebuit, met behulp van KEV, EPSS en de misbruikvlag van Microsoft, niet op score, en patch sneller dan vroeger. Het getal op de doos gaat alleen maar omhoog.

Thijs Van der Does