Microsoft 發布 2026 年 7 月 Patch Tuesday 安全性更新,修補數量打破歷史紀錄,依不同計算方式達 570 至 622 項漏洞,其中
包含 2 項已遭野外利用的零日漏洞,以及
1 項已公開揭露但尚未遭利用的漏洞。59 項漏洞被評定為重大(Critical)等級,其中 48 項為遠端程式碼執行漏洞。
兩項已遭利用的零日漏洞須優先處理
CVE-2026-56164(SharePoint Server 權限提升漏洞):未經驗證的遠端攻擊者可透過網路提升權限,無需任何憑證或使用者互動。此漏洞由 Mandiant 事件應變團隊與 Google Cloud FLARE OTF 於實際攻擊調查中發現,顯示已在攻擊活動中被主動利用。Microsoft 建議在伺服器上啟用反惡意軟體掃描介面(Antimalware Scan Interface,AMSI),並將請求主體掃描模式設定為完整模式(Full Mode),以降低風險。
同時需注意,14 日亦為 SharePoint Server 2016 與 2019 終止延伸支援的日期,且兩者皆無付費延伸安全性更新(Extended Security Updates,ESU)方案可供採用。
CVE-2026-56155(Active Directory Federation Services 權限提升漏洞):已通過驗證的攻擊者可利用不足的存取控制,在本機提升至管理員權限。此漏洞由 Microsoft 偵測與應變團隊(DART)於事件應變過程中發現,亦與攻擊調查情境相關。由於 Active Directory Federation Services(AD FS)負責簽署整個環境的身分驗證令牌,即使被標記為「本機」漏洞,其影響範圍仍應特別關注。
截至目前,上述兩項漏洞尚未列入 CISA 已知遭利用漏洞(KEV)目錄;不過 Microsoft 的可利用性評級已將兩者標記為「已遭利用」,資安團隊無需等待 KEV 收錄即可優先處置。
第三項零日漏洞:已公開揭露但尚未遭利用
CVE-2026-50661(Windows BitLocker 安全功能繞過漏洞)則需具備對裝置的實體存取才能利用,攻擊者可藉此存取受 BitLocker 加密的資料。此漏洞不屬於遠端攻擊的緊急威脅,但延續了今年稍早
YellowKey 等多起 BitLocker 繞過漏洞的趨勢。
SharePoint 另有待修補的攻擊鏈
Rapid7 Labs 揭露
CVE-2026-55040(JWT 身分驗證繞過漏洞)。Rapid7 研究人員指出,該漏洞可與另一項遠端程式碼執行漏洞串聯,進而達成未經驗證的遠端程式碼執行。目前本次更新僅修補驗證繞過部分;串聯所需的遠端程式碼執行漏洞預計於 8 月修補。此外,兩者在 CVSS 評分上存在 4 分差異(Rapid7 評定 5.3、ZDI 評定 9.1),再次凸顯本月不宜僅以嚴重性評分作為修補優先順序的主要依據。
Kerberos RC4 淘汰完成,可能影響服務帳號驗證
此次更新完成 Microsoft 多年來對 Kerberos RC4 的強化收尾,並移除管理員過去用於緩解相容性問題的 RC4DefaultDisablementPhase 回滾開關。更新後,RC4 僅對明確設定允許的帳號有效。若環境中仍有服務帳號使用 RC4 Kerberos 票證,套用更新後可能導致驗證失敗。建議先透過 Microsoft 於 1 月新增的 RC4 稽核事件進行盤查,再輪換受標記的服務帳號密碼以生成 AES 金鑰,最後再套用更新。
各產品類別漏洞分布概覽
Windows 元件共有 416 項漏洞,包含最高評分漏洞
CVE-2026-57092(VMSwitch 遠端程式碼執行,CVSS 9.9)、5 項 DHCP 伺服器遠端程式碼執行漏洞,以及 21 項 NTFS 與 ReFS 驅動程式漏洞。Microsoft Office 有 82 項漏洞。SharePoint Server 有 17 項,包含兩項零日漏洞及一項 CVSS 9.8 的重大遠端程式碼執行漏洞(
CVE-2026-50522)。Microsoft Exchange Server 有 5 項,其中
CVE-2026-55008 為 Outlook Web Access 的儲存型跨站腳本攻擊(Stored XSS),CVSS 評分 9.6。Microsoft 將其歸類為偽造漏洞,但 ZDI 認為此分類低估了其嚴重性。Microsoft Defender 有 5 項,包含兩項重大遠端程式碼執行漏洞。
AI 驅動漏洞發現成為規模擴大的主因
Microsoft 於 7 月 9 日提前告知用戶,本月更新數量預期將增加,並說明公司正使用 AI 驅動的漏洞發現系統,在攻擊者利用之前識別更多安全問題。其多模型代理掃描系統 MDASH 在 5 月 Patch Tuesday 中單獨發現了 16 項漏洞。同樣的自動化能力也同時惠及攻擊方:修補程式發布後,攻擊者可透過比對新舊版本快速定位漏洞並建構利用程式,縮短防禦方的應對時間窗口。資安團隊應優先依據「已遭利用」狀態(結合 KEV、EPSS 及 Microsoft 的已利用標記)進行排序,而非僅以 CVSS 評分為主要依據。
同期其他廠商重要安全更新
本月同期發布重要安全更新的廠商包括:Adobe(ColdFusion 重大漏洞 CVE-2026-48282 已遭利用)、Cisco(確認 CVE-2026-20230 已遭主動利用)、Fortinet、Gitea、Ivanti、Linux 核心(修補可導致虛擬機器逃逸的 Januscape 漏洞)、NVIDIA、Progress Software(ShareFile 零日漏洞)、SAP(NetWeaver 等四項重大漏洞)、Ubiquiti(高嚴重性 UniFi OS 漏洞)以及 Zimbra(重大 XSS 漏洞)。
本文轉載自 TheHackerNews、BleepingComputer。