Microsoft Patches enregistre 622 erreurs sur deux jours d’attaques actives.

Microsoft a envoyé sa plus grande entreprise Le correctif de mardi Deux des correctifs signalés aujourd’hui comblent des failles que les attaquants exploitent déjà. Cette version couvre les 622 CVE de Microsoft Guide de mise à jour de sécurité nombre, trois fois plus Le maximum avant juin était d’environ 200.

Ces deux bugs vivants sont les premiers à être détectés. Microsoft prête des intervenants aux incidents aux deux. Les deux sont des failles privilégiant les privilèges dans l’infrastructure d’identité et de collaboration : CVE-2026-56164 dans SharePoint Server sur site et CVE-2026-56155 dans les services de fédération Active Directory.

Rien de tout cela n’est important pour l’exécution de code à distance. Il s’agit de deux erreurs de privilèges système qui sont plus importantes que leurs points : le référentiel de documents et la boîte de connexion de l’entreprise.

Deux jours zéro à couvrir en premier

CVE-2026-56164Selon Microsoft, la faille du serveur SharePoint utilisée dans l’attaque permet à des attaquants non confirmés d’accéder au réseau. Aucune information d’identification, aucune interaction utilisateur, à distance. Microsoft l’a fourni aux intervenants de Mandiant et à l’équipe FLARE de Google, indiquant qu’il détectait une attaque active, mais Microsoft n’a pas précisé comment ni par qui il avait été utilisé.

Si vous utilisez SharePoint auto-hébergé, c’est la première chose que vous devriez obtenir, et il y en a une deuxième fois : aujourd’hui, c’est aussi la fin du support étendu pour SharePoint Server 2016 et 2019. Contrairement à Windows Server ou SQL Server, aucun des deux n’a de programme ESU payant.

En plus des correctifs, l’avis de Microsoft indique que l’activation d’AMSI en mode complet sur le serveur arrêtera l’attaque. Depuis, SharePoint attire les attaquants Réseau ToolShell Des serveurs non corrigés ont été cassés en 2025, et ils en sont toujours un.

CVE-2026-56155La faille dans les services de fédération Active Directory, dont Microsoft note également qu’elle a été exploitée, permet à des attaquants déjà éprouvés d’élever les privilèges locaux grâce à des contrôles d’accès faibles. La propre unité de réponse aux incidents DART de Microsoft obtient un crédit.

AD FS est la boîte qui signe les jetons d’identification sur la propriété, il vaut donc la peine de prêter plus d’attention à l’erreur qu’à l’étiquette « locale » sur cet hôte. Microsoft n’a pas précisé quel privilège avait été accordé ni comment l’attaquant l’avait exploité.

Bon à savoir pour tous ceux qui suivent le délai de correction : aucun des CVE n’est actif. Catalogue CISA des vulnérabilités exploitables connues au moment d’écrire ces lignes. La propre évaluation d’utilisabilité de Microsoft note que les deux sont déjà utilisés. N’attendez pas que la liste KEV soit officielle.

Microsoft évalue également les bogues SharePoint en termes de gravité, ce qui nous rappelle que les étiquettes de gravité ne sont pas une priorité ce mois-ci.

Troisième erreur, compromission du réseau SharePoint en août

Un troisième zero-day a été annoncé publiquement mais n’a pas été attaqué : CVE-2026-50661, un autre Contourner BitLocker. Il ne s’agit pas d’une urgence à distance puisqu’elle nécessite un accès physique à l’appareil. Il sera rempli mais pas mis en file d’attente. Il continue de contourner BitLocker via Bitskrieg et de revenir en arrière Clé jaune plus tôt cette année.

SharePoint a connu une deuxième refonte majeure. Révélation des laboratoires Rapid7 CVE-2026-55040le chemin d’authentification JWT qu’ils ont créé pour entrer dans Pwn2Own Berlin. Le score dépend de la personne à qui vous demandez : Rapid7 le met à 5,3, Microsoft dit qu’il est moyennement lourd et ZDI lit Version critique dans la version 9.1.

Ce qu’il fait est indéniable. Rapid7 a attribué cela à un bug distinct d’exécution de code à distance permettant d’obtenir un RCE non authentifié sur des serveurs vulnérables, et la moitié du RCE n’a pas été corrigée ; Microsoft prévoit de résoudre ce problème en août.

Cela amène July à contourner le patch qui brise la chaîne. L’écart de quatre points d’une erreur nous indique ce que vaut le chiffre de gravité ce mois-ci.

Nettoyage RC4 qui peut interrompre les connexions

La mise à jour a également mis fin au renforcement de longue date de Kerberos RC4 de Microsoft. La version de juillet a supprimé le commutateur de restauration RC4DefaultDisablementPhase, une trappe de secours sur laquelle s’appuyaient les administrateurs depuis que Microsoft a commencé à le supprimer en janvier.

Après cela, RC4 ne fonctionnera que pour les comptes spécifiquement configurés pour l’autoriser. Si le compte de service de votre environnement demande toujours un ticket RC4 Kerberos, l’authentification peut échouer lors de la mise à niveau.

L’ordre est important : commencez par auditer à l’aide des événements d’audit RC4 ajoutés par Microsoft en janvier, puis annulez les mots de passe sur les comptes de service signalés, Windows génère des clés AES pour eux, puis les corrige. La rotation corrige uniquement les comptes qui n’ont pas de clé AES.

Tout ce qui a été corrigé dans RC4 dans les paramètres ou dans les clients plus anciens qui ne parlent de rien d’autre doit être corrigé avant le début de la mise à jour. Cela ne vous brisera pas ; Cela casse les choses, mais si vous sautez l’audit, cela vous expulse de la page à 2 heures du matin.

Pourquoi un mois calme a établi un record

Juillet est l’un des mois les plus légers du calendrier de Microsoft, ce qui le rend spécial. Windows représente à lui seul 416 des 622, et ZDI compte 95 bogues d’exécution de code à distance dans la version.

Les autres sont assis ici, et voici ce qu’il faut tirer de chaque pile :

Famille de produits CVE Ça vaut le coup d’être téléchargé
Fenêtres 416 Les deux AD FS Zero Day (CVE-2026-56155) et contournement BitLocker craqué (CVE-2026-50661) vit ici. Le meilleur score pour cette version est VMSwitch RCE, CVE-2026-57092 A 9h9 heures. Et 21 erreurs de pilote NTFS et ReFS qui lisent cinq RCE DHCP et une cause première ZDI.
Bureau 82 Compté une fois. Microsoft répertorie à nouveau les mêmes 82 sous une piste Office 2016 distincte, de sorte que certains magasins en signalent 164.
Microsoft Bord 46 ZDI considère que 21 est celui de Microsoft plutôt que celui de Chromium.
Outils de développement 27 Les fonctionnalités de sécurité proviennent de Visual Studio, VS Code et GitHub Copilot, principalement via l’injection et le routage.
Serveur SharePoint 17 Date zéro utilisée (CVE-2026-56164) et la chaîne Rapid7 (CVE-2026-55040), plus une paire de RCE critiques CVE-2026-50522 A 9h8 heures.
Azur 11 Rien de marqué comme urgent.
Serveur SQL 8 paire RCE, CVE-2026-54117 et CVE-2026-54118les deux 8.8.
Protecteur 5 Deux RCE importants.
Serveur d’échange 5 XSS stocké dans Outlook Web Access, CVE-2026-55008En 9.6. Microsoft le classe sous tromperie, ce qui le sous-estime.
Autres 5 Rien de marqué comme urgent.

L’estimation provient du Guide de mise à jour de sécurité de Microsoft, qui totalise 622 CVE uniques ce mois-ci. ZDI en a dénombré 621 de manière indépendante, et la revue de juillet est une source d’informations pour une famille.

Microsoft l’a appelé il y a cinq jours. dans un Article du 9 juilletil a indiqué aux utilisateurs que « la quantité de mises à jour de sécurité contenues dans chaque version de sécurité sera plus importante », car l’IA aide à détecter davantage de problèmes. Il obtiendra le poste MDASHSon système d’analyse d’agents multimodèles a détecté à lui seul 16 bogues lors du Patch Tuesday de mai. Microsoft n’a pas précisé combien des 622 juillet étaient sortis du pipeline.

La même automatisation réduit les deux côtés. Une fois la ressource soumise, les attaquants peuvent la distinguer de la dernière version, trouver un bug bloquant et créer un exploit fonctionnel avant que la plupart des magasins n’aient terminé les tests. Cela ronge le vieux coussin « attendez une semaine » et réduit l’espace disponible pour mercredi.

Il effectue également une triangulation basée sur CVSS. Si une version contient plus de 600 CVE et qu’un grand pourcentage est classé Élevé ou Critique, « critique » ne donnera plus la priorité à quoi que ce soit. Les deux bugs utilisés ce mois-ci illustrent ce point : aucun des deux titres n’est en version 9.8, les deux ne disposent pas de privilèges de niveau intermédiaire et les deux sont déjà utilisés.

Triez selon ce que vous utilisez, en utilisant KEV, EPSS, les indicateurs utilisés par Microsoft au lieu de points, et corrigez plus rapidement qu’auparavant. Le nombre sur la boîte ne fait qu’augmenter.

Leave a Comment