570 исправлений Microsoft — не повод для паники, а проверка приоритизации
В июльском наборе важнее не рекордное число, а две уже эксплуатируемые уязвимости в AD FS и SharePoint Server.
Июльский выпуск безопасности Microsoft легко превратить в пугающий заголовок: как минимум 570 исправлений, почти 60 критических проблем, три zero-day и две уязвимости, которые, по данным Microsoft, уже эксплуатируются. Но полезный вывод другой. Это не сигнал “всё сломано”, а проверка того, умеет ли организация быстро отделять действительно срочные обновления от большого фонового потока патчей.

В первую очередь стоит смотреть не на общее число, а на CVE-2026-56155 и CVE-2026-56164. Первая — повышение привилегий в Active Directory Federation Services, вторая — повышение привилегий в Microsoft SharePoint Server. В Microsoft Security Update Guide обе отмечены как exploited. Zero Day Initiative отдельно подчёркивает практический смысл: AD FS находится рядом с инфраструктурой идентификации, а SharePoint Server во многих компаниях доступен по сети и может стать удобной точкой для дальнейшего движения атакующего.
Главный вопрос для IT-команды поэтому звучит не так: “как немедленно поставить 570 патчей?” Правильный вопрос: “какие наши системы связаны с идентификацией, совместной работой, удалённым доступом, почтой, управлением устройствами и критичными бизнес-процессами — и какие из них затронуты уже эксплуатируемыми уязвимостями?” Умеренная по CVSS проблема в доступном снаружи сервисе может быть важнее критической ошибки в компоненте, которого у вас вообще нет.
Что именно вышло
Июльский выпуск закрывает уязвимости в Windows и широком наборе продуктов Microsoft. KrebsOnSecurity пишет как минимум о 570 проблемах и почти 60 критических уязвимостях. Официальные данные Microsoft подтверждают ключевые статусы по главным CVE: CVE-2026-56155 — проблема недостаточно детального контроля доступа в AD FS; CVE-2026-56164 — отсутствие аутентификации для критичной функции в Microsoft Office SharePoint; CVE-2026-50661 — обход защитного механизма BitLocker, публично раскрытый, но не отмеченный Microsoft как активно эксплуатируемый; CVE-2026-48561 — критическая RCE-уязвимость в Microsoft Copilot с базовой оценкой 9.6.
Разные издания могут считать итоговое число по-разному: кто-то включает зависимости, браузерные компоненты, облачные и Linux-составляющие, кто-то считает только отдельные продукты Microsoft. Для практической защиты это вторично. Намного важнее признаки, которые меняют порядок работ: уязвимость уже используется, она публично раскрыта, доступна по сети, не требует действий пользователя, затрагивает внешний сервис или даёт сильный прирост привилегий.
Сначала exploited и exposed
Если в организации есть AD FS, нужно быстро понять, какие серверы затронуты, где они расположены, кто ими владеет и установлены ли июльские обновления. Для AD FS особенно важны не только сами патчи, но и любые дополнительные указания Microsoft по настройкам доступа и поэтапному усилению контроля. Инфраструктура федерации и аутентификации — не место для долгих “посмотрим через месяц”.
Если используется on-premises SharePoint Server, CVE-2026-56164 должна попасть в начало очереди. В описании Microsoft речь идёт о сетевом сценарии без аутентификации, а ZDI справедливо напоминает: moderate severity не означает “можно забыть”, если уязвимость уже используется. При этом не надо пугать пользователей SharePoint Online или Microsoft 365 без оснований: проверять нужно именно те продукты и версии, которые названы в advisory.
Дальше стоит пройти по критическим RCE в сервисах, которые принимают трафик от недоверенных сетей или больших внутренних групп. DHCP, Exchange, Defender, SQL Server, Office-сервисы, Copilot-поверхности и компоненты Windows имеют разный риск в разных инфраструктурах. CVSS полезен, но он не знает вашу сетевую схему, компенсирующие меры и бизнес-критичность конкретного сервера.
Почему патчей стало так много
Microsoft связывает рост объёма обновлений с AI-assisted vulnerability discovery и анализом. Это не значит, что AI “создал” эти уязвимости, и не доказывает, что код внезапно стал хуже именно в июле. Более спокойная интерпретация: старые и новые проблемы быстрее становятся видимыми. Для защиты это хорошо, но операционно тяжелее: каждая подтверждённая уязвимость превращается в решение — срочно патчить, выпускать волнами, временно смягчать риск, мониторить или принять короткое исключение с владельцем и сроком.
Проблема в том, что атакующие получают похожее ускорение после публикации advisory. То, что раньше требовало дней ручного анализа, всё чаще быстрее превращается в воспроизводимый сценарий или основу для цепочки атаки. Tenable в комментарии KrebsOnSecurity предупреждает: оценки exploitability, рассчитанные на человеческую скорость, могут хуже работать в мире AI-инструментов. Это не делает каждую CVE аварией, но снижает ценность привычки откладывать “маловероятное” на неопределённый срок, если система доступна извне.
Публичное обсуждение показывает тот же конфликт. На Hacker News спорили, означает ли рекордное число хороший AI bug hunting, эффект отчётности, шум зависимостей или обычную сложность большого программного стека. Администраторы отдельно напоминали, что патчи иногда ломают рабочие системы. Это реальный риск. Ответ — не заморозить обновления, а заранее иметь резервные копии, пилотные кольца, мониторинг, план отката и процесс отслеживания known issues.
Спокойный порядок работ
Практичный план можно разделить на пять слоёв. Сначала — AD FS и on-premises SharePoint Server: где они стоят, доступны ли извне, есть ли признаки необычных изменений прав, установлены ли обновления и прошла ли проверка после установки.
Второй слой — критические RCE в реально используемых и доступных серверных продуктах. Не каждый пункт из release notes есть в вашей среде, но отсутствие инвентаризации само по себе становится риском. Если команда не может быстро ответить, есть ли у неё конкретный продукт и где он опубликован, это нужно исправлять параллельно с патчингом.
Третий слой — публично раскрытые, но не подтверждённо эксплуатируемые уязвимости. BitLocker bypass важен для украденных ноутбуков, командировок, руководителей, устройств с регулируемыми данными и общих рабочих станций. Для сервера в контролируемом помещении риск может быть другим.
Четвёртый слой — рабочие станции и пользовательские устройства через пилотные кольца. Пилот должен отражать реальный парк: разные модели, VPN, EDR, шифрование дисков, принтеры, бизнес-приложения и сценарии удалённой работы. После пилота нужно смотреть не только “установилось/не установилось”, но и загрузку, вход, приложения, сетевые клиенты и обращения в поддержку.
Пятый слой — закрытие хвостов. Патч установлен не тогда, когда его одобрили, а когда телеметрия развёртывания, сканер уязвимостей и список исключений говорят одно и то же. Исключения должны иметь владельца и дату пересмотра, а не жить в таблице без срока.
Что делать обычным пользователям и небольшим командам
Домашним пользователям не стоит выключать обновления из-за страшной цифры. Сделайте резервную копию важных файлов, оставьте Windows Update включённым и не откладывайте перезагрузку неделями. Если устройство часто путешествует или хранит рабочие данные, шифрование диска, прошивки и драйверы — часть той же базовой гигиены.
Небольшим компаниям не нужно изображать крупный enterprise, если нет людей на сложный процесс. Но короткий список активов, понимание, есть ли on-premises серверы Microsoft, и назначенный владелец решений по патчам нужны всем. Если на вопрос “у нас есть SharePoint Server или AD FS?” ответ “не уверены”, начинать надо именно с этой неопределённости.
Итог простой: рекордный Patch Tuesday — предупреждение, но не сирена паники. Высокий объём найденных уязвимостей становится нормой. Выиграют не те, кто эмоционально реагирует на каждую рекордную цифру, а те, кто быстро выделяет exploited, exposed и business-critical системы, чинит их первыми и спокойно доводит остальные обновления до конца.
Comments
Sign in to comment.
No comments yet.