Microsoft łata rekordowe 622 podatności, w tym dwa aktywnie wykorzystywane błędy zero-day - Security Bez Tabu

Microsoft łata rekordowe 622 podatności, w tym dwa aktywnie wykorzystywane błędy zero-day

Cybersecurity news

Wprowadzenie do problemu / definicja

Microsoft opublikował w lipcowym cyklu Patch Tuesday 2026 rekordowo duży pakiet aktualizacji bezpieczeństwa, obejmujący 622 unikalne podatności. Szczególne znaczenie mają dwa błędy typu zero-day, które były już wykorzystywane w rzeczywistych atakach, co podnosi pilność działań po stronie administratorów i zespołów bezpieczeństwa.

Skala aktualizacji jest istotna nie tylko z uwagi na liczbę luk, ale także dlatego, że najpilniejsze z nich dotyczą systemów odpowiedzialnych za współpracę i zarządzanie tożsamością w środowiskach przedsiębiorstw. W praktyce oznacza to ryzyko wykraczające poza pojedyncze serwery i obejmujące całe łańcuchy zaufania w organizacji.

W skrócie

Najważniejsze informacje dotyczą dwóch aktywnie eksploatowanych podatności: CVE-2026-56164 w lokalnym SharePoint Server oraz CVE-2026-56155 w Active Directory Federation Services. Pierwsza umożliwia zdalne podniesienie uprawnień bez uwierzytelnienia, a druga dotyczy niewystarczającej kontroli dostępu i może prowadzić do eskalacji uprawnień na systemie.

Publicznie ujawniono również CVE-2026-50661, czyli lukę pozwalającą na obejście zabezpieczeń BitLocker, jednak jej wykorzystanie wymaga fizycznego dostępu do urządzenia. Dla większości organizacji priorytetem pozostają więc przede wszystkim systemy SharePoint i AD FS.

  • 622 podatności załatanych w jednym cyklu aktualizacji
  • 2 aktywnie wykorzystywane zero-daye
  • 1 dodatkowy zero-day ujawniony publicznie przed publikacją poprawek
  • Wysokie znaczenie dla środowisk tożsamości i współpracy

Kontekst / historia

Lipcowy pakiet poprawek wyróżnia się zarówno liczbą CVE, jak i profilem zagrożeń. Microsoft przekroczył wcześniejsze miesięczne poziomy, pokazując rosnącą złożoność ekosystemu obejmującego Windows, Office, Edge, SharePoint, SQL Server i komponenty bezpieczeństwa.

Szczególną uwagę przyciąga SharePoint Server, który od lat pozostaje atrakcyjnym celem dla atakujących ze względu na przechowywanie dokumentów, workflow i integracji biznesowych. W przypadku środowisk on-premises kompromitacja tej platformy może otworzyć drogę do dalszego ruchu bocznego i przejęcia cennych danych.

Dodatkowym czynnikiem ryzyka jest zakończenie rozszerzonego wsparcia dla SharePoint Server 2016 i 2019 w dniu publikacji poprawek. Oznacza to, że organizacje korzystające ze starszych wdrożeń nie powinny odkładać decyzji o migracji ani zakładać długiego okresu ochronnego.

Równolegle Microsoft finalizuje proces ograniczania użycia RC4 w Kerberosie. Zmiana ta może wpłynąć na starsze aplikacje i konta usługowe, które nadal opierają się na przestarzałych ustawieniach kryptograficznych.

Analiza techniczna

Najpilniejsza luka, CVE-2026-56164, dotyczy lokalnego SharePoint Server i umożliwia niezautoryzowanemu atakującemu zdalną eskalację uprawnień przez sieć, bez potrzeby podawania poświadczeń i bez interakcji użytkownika. Taki profil czyni ją szczególnie niebezpieczną dla serwerów wystawionych do internetu lub umieszczonych w słabiej segmentowanych sieciach.

Microsoft wskazał również, że dodatkowym środkiem ograniczającym ryzyko może być włączenie AMSI w trybie Full Mode na serwerze SharePoint. Nie zastępuje to jednak samej aktualizacji i powinno być traktowane jako warstwa ochronna, a nie pełna remediacja.

Drugi aktywnie wykorzystywany błąd, CVE-2026-56155, dotyczy Active Directory Federation Services. Choć formalnie klasyfikowany jest jako lokalna eskalacja uprawnień, jego znaczenie operacyjne jest znacznie większe, ponieważ AD FS odpowiada za federację tożsamości i obsługę tokenów dostępowych. Przejęcie takiego hosta może więc skutkować naruszeniem zaufania między wieloma systemami.

Trzeci zero-day, CVE-2026-50661, obejmuje obejście ochrony BitLocker. Wymaga fizycznego dostępu do urządzenia, dlatego w większości scenariuszy biznesowych ma niższy priorytet niż luki wykorzystywane przez sieć, choć nadal powinien zostać uwzględniony w planie aktualizacji.

Na uwagę zasługuje również CVE-2026-55040 w SharePoint Server, opisywany jako obejście uwierzytelniania opartego na JWT. Według analiz badaczy podatność ta może stanowić element łańcucha prowadzącego do zdalnego wykonania kodu bez uwierzytelnienia, co oznacza, że bieżące poprawki mogą nie zamykać całej potencjalnej ścieżki ataku.

Istotnym elementem lipcowych aktualizacji jest także usunięcie mechanizmu wycofania wcześniejszego hardeningu RC4 w Kerberosie. W efekcie RC4 będzie działać wyłącznie dla kont jawnie skonfigurowanych do jego użycia, co może ujawnić zależności od przestarzałych konfiguracji w starszych środowiskach.

Konsekwencje / ryzyko

Dla organizacji największe zagrożenie wynika z połączenia aktywnej eksploatacji, dużej powierzchni ataku i krytycznej roli podatnych systemów. SharePoint często stanowi centralny magazyn dokumentów i procesów, a AD FS pozostaje fundamentem federacji tożsamości. Kompromitacja jednego z tych elementów może prowadzić do dalszej eskalacji, utrwalenia dostępu i nadużycia relacji zaufania.

Ryzyko nie ogranicza się jednak wyłącznie do skutecznego ataku. Rekordowa liczba poprawek zwiększa prawdopodobieństwo problemów wdrożeniowych, regresji i przerw w działaniu usług. Dotyczy to szczególnie środowisk, które nie przeprowadziły audytu zależności od RC4, starszych kont usługowych lub niestandardowych integracji.

  • Ryzyko przejęcia systemów tożsamości i współpracy
  • Możliwość dalszej eskalacji uprawnień w środowisku
  • Potencjalne zakłócenia działania usług po wdrożeniu aktualizacji
  • Wzrost ekspozycji w organizacjach korzystających z niewspieranych wersji SharePoint

Rekomendacje

Priorytetem powinno być natychmiastowe załatanie systemów SharePoint Server oraz AD FS, zwłaszcza tych dostępnych z sieci zewnętrznych lub połączonych z krytycznymi usługami tożsamości. Równolegle warto ograniczyć ekspozycję tych systemów, zweryfikować segmentację sieci oraz przeanalizować logi pod kątem prób eskalacji uprawnień i nietypowych operacji uwierzytelniających.

W środowiskach SharePoint należy rozważyć wdrożenie AMSI w trybie Full Mode oraz sprawdzić, czy serwery nie działają na wersjach, dla których wsparcie zostało zakończone. Organizacje korzystające z SharePoint Server 2016 lub 2019 powinny potraktować migrację jako pilne zadanie strategiczne.

W przypadku AD FS zalecane jest rozszerzenie monitoringu na operacje związane z token signing, zmiany konfiguracji usług federacyjnych, lokalne podniesienia uprawnień oraz nietypowe zdarzenia bezpieczeństwa na hostach federacyjnych. Z perspektywy obrony warto przyjąć, że kompromitacja AD FS może mieć skutki porównywalne z naruszeniem centralnej infrastruktury uwierzytelniania.

Przed wdrożeniem pełnego zestawu aktualizacji należy również przeprowadzić audyt zależności od RC4 w Kerberosie. Obejmuje to identyfikację kont usługowych korzystających z takich biletów, rotację haseł tam, gdzie brakuje kluczy AES, oraz testy zgodności starszych aplikacji.

  • Załatać w pierwszej kolejności SharePoint Server i AD FS
  • Włączyć dodatkowe mechanizmy ochronne w SharePoint
  • Rozszerzyć monitoring bezpieczeństwa dla systemów federacyjnych
  • Przeprowadzić audyt zależności od RC4 i starszych kont usługowych
  • Wdrażać poprawki etapowo, z planem awaryjnym dla warstwy aplikacyjnej

Podsumowanie

Lipiec 2026 przyniósł największy w historii Microsoftu pakiet poprawek bezpieczeństwa, obejmujący 622 podatności. Kluczowe znaczenie mają jednak nie same liczby, lecz dwa aktywnie wykorzystywane zero-daye w SharePoint Server i AD FS, które uderzają w podstawowe elementy infrastruktury przedsiębiorstw.

Dodatkowym wyzwaniem pozostaje zakończenie wsparcia dla starszych wersji SharePoint oraz dalsze odchodzenie od RC4 w Kerberosie. Dla zespołów bezpieczeństwa oznacza to konieczność szybkiej, ale kontrolowanej reakcji, łączącej priorytetyzację poprawek, monitoring systemów tożsamości i starannie zaplanowane wdrożenie aktualizacji.

Źródła

  1. https://thehackernews.com/2026/07/microsoft-patches-record-622-flaws.html
  2. https://msrc.microsoft.com/update-guide/
  3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-56164
  4. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-56155
  5. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50661