微软的 “7 月补丁星期二” 披露 622 项漏洞
Microsoft 在 2026 年 7 月 Patch Tuesday 发布了 622 项漏洞的修复信息,其中包括创纪录的 416 项 Windows 漏洞。
2026 年 7 月的 Microsoft Patch Tuesday 再次反映出了当前网络安全环境中的两项重要趋势:漏洞被披露的数量持续增加,以及人工智能(AI)正在逐渐成为漏洞研究流程中的重要加速工具。本次更新中,有两项漏洞已确认遭到实际攻击,并被列入 CISA 已知遭利用漏洞清单,另有一项漏洞已经被公开披露。因此,真正需要关注的不只是漏洞的数量,而是攻击链成熟速度的提升,以及 AI 如何缩短漏洞分析、利用开发与攻击部署之间的时间差。
Microsoft 近年来持续调整 Security Update Guide 的呈现方式。继此前停止列出 Chromium 相关 CVE 后,本次更新进一步减少了逐项漏洞列表,而转变成以产品系列漏洞统计与少量“Notable CVEs”作为重要的点。这反映出当前漏洞披露速度已经超过传统安全更新文档的信息承载能力,也意味着 Security Update Guide 正逐渐从一个完整的漏洞资料来源转变为更新导航的工具。对于防御团队而言,完整技术细节越来越依赖漏洞研究报告、技术分析文章,以及安全研究社区公开分享的信息。
本次更新中最值得关注的漏洞之一是 CVE-2026-55040,这是一项影响 Microsoft SharePoint Server 绕过身份验证的重大漏洞,由 Rapid7 高级首席安全研究员 Stephen Fewer 发现,并通过协调式的漏洞披露流程提交给 Microsoft。Microsoft 已针对 SharePoint Subscription Edition、SharePoint Server 2019 与 SharePoint Server 2016 发布修复程序。
技术分析指出,CVE-2026-55040 并不是完整的攻击流程,而是整个攻击链中的第一个环节。攻击者可以先利用漏洞绕过身份验证,再结合另一项尚未公开的漏洞,最终实现无需身份验证的远程代码执行。由于第二项漏洞仍处于披露限制阶段,Microsoft 预计将在 2026 年 8 月 Patch Tuesday 提供相关修复。
绕过身份验证的漏洞本身未必代表最高风险,但如果能够与反序列化、命令注入、不安全 API 或权限提升漏洞结合,就可能形成完整的无需身份验证的远程代码执行攻击链。这类漏洞链一直是攻击者针对企业 SharePoint 模式时最具价值的攻击方式之一。
Rapid7 选择暂不公开完整技术细节与利用方式,以配合第二个漏洞的协调式漏洞披露流程,避免在完整修复发布前加速漏洞武器化。截至本文撰写时,CVE-2026-55040 尚未有官方或研究团队公开发布的概念验证程序。如果后续公开相关技术分析,可参考 Rapid7 官方技术博客(https://www.rapid7.com/blog/)。
另一项已确认遭到实际利用的漏洞为 CVE-2026-56164,这个属于网络权限提升漏洞。攻击者无需具备现有权限,即可通过网络提升权限,且攻击复杂度较低。然而,该漏洞的 CVSS v3 分数仅为 5.3,却仍被 Microsoft 评定为 Important,说明漏洞评分并不一定能够完整反映真实的攻击价值。
许多高价值漏洞并非来自最高的 CVSS 分数,而是来自其利用稳定性、自动化能力,以及是否容易与其他漏洞组合形成攻击链。因此,在漏洞管理与风险评估过程中,除了参考 CVSS 外,也应评估漏洞是否能够支持横向移动、权限提升、信息获取以及长期控制等攻击目标。
在身份认证基础设施方面来看,CVE-2026-56155 同样值得被关注。该漏洞影响 Active Directory Federation Services,属于已遭实际利用的本地权限提升漏洞。虽然攻击者需要先获得合法账户,但仍可以通过该漏洞提升权限。
在同样的更新中,Microsoft 还修复另外八项 Active Directory Federation Services 漏洞,全部列为 Important。由于 Active Directory Federation Services 负责企业内部与云端环境的身份认证流程,一旦攻击者成功获得更高权限,便可能进一步影响联合信任关系、认证令牌以及混合身份环境。因此,这类漏洞的实际风险通常高于单纯漏洞评分所呈现的结果。
本次更新还修复了 CVE-2026-50661,一项影响 BitLocker 的安全机制绕过漏洞。Microsoft 指出,攻击者需要具备物理访问权限才能利用该漏洞,但未公开更多漏洞来源信息。安全社区普遍推测,该漏洞可能与独立研究员 Nightmare Eclipse 之前公开的 GreatXML 有关。
虽然物理访问通常被认为是攻击限制条件,但在设备遗失、内部威胁、司法取证、边境检查或企业设备管理场景中,此类漏洞仍可能造成重大的影响。因此,不应仅因为利用条件较特殊而降低风险评估。
近几个月,Microsoft 也持续面临来自独立研究员 Nightmare Eclipse 的漏洞公开压力。继 RoguePlanet(后续修复为 CVE-2026-50656)与 GreatXML 后,其再次公开代号为 LegacyHive 的漏洞。
根据目前公开信息表示,LegacyHive 可以让低权限用户挂载其他用户的 User Hive。虽然该漏洞未必直接形成完整权限提升,但可以作为信息收集、凭证获取或后续攻击流程的重要环节。这类单独看似影响有限的漏洞,在多阶段攻击中往往能够发挥关键作用,尤其是在攻击者能够将多个弱点组合成完整攻击链时。
Rapid7 指出,2026 年漏洞披露数量快速增加的重要因素之一是 AI 已开始广泛应用于漏洞研究流程。对攻击者和安全研究人员而言,AI 最大的变化并不是替代人工,而是减少分析大型代码库和验证漏洞条件所需的时间。
然而,AI 并不是直接取代安全研究人员寻找漏洞,而是通过帮助理解大型代码、分析修补内容、建立测试案例以及整理逆向分析结果,大幅缩短研究周期。
除了安全更新外,多项 Microsoft 产品生命周期也在 2026 年 7 月发生重大变化。SharePoint Server 2016 与 SharePoint Server 2019 已正式结束支持,并且不提供扩展安全更新,这意味着需要持续获得安全更新的本地部署环境仅剩 SharePoint Subscription Edition 仍为受支持选项。
SQL Server 2016 已进入付费扩展安全更新阶段,而 SQL Server 2014 则进入扩展安全更新最后一年。同时,Project Server 2016、Project Server 2019、Dynamics GP 2016、Dynamics GP 2016 R2、InfoPath 2013、SharePoint Designer 2013,以及 Visual Studio 2022 Version 17.12 LTSC 也相继结束支持。
对于企业而言,持续使用这些产品将增加安全维护的压力。如果短期内无法完成升级,应通过网络隔离、最小权限管理、持续监控以及风险降低措施,从而减少旧系统暴露在攻击面的可能性。
这次更新释放出的信号,比漏洞数量本身更值得关注。
首先,SharePoint 仍然是高价值攻击目标。绕过身份验证结合后续远程代码执行的攻击链,再次证明企业协作平台仍然是攻击者优先关注的环境。
其次,AI 正在改变漏洞研究的方式。从源代码分析、补丁差异分析到概念验证建立与逆向工程,AI 都正在提升研究效率,也可能进一步缩短漏洞从发现到被利用之间的时间。
值得注意的是,Microsoft 此次披露方式变化,也让企业安全团队越来越难单靠官方公告完成风险排序。漏洞风险不能仅仅依赖 CVSS 分数衡量。许多中低分漏洞如果能够稳定串接攻击链、协助权限提升或横向移动,其实际威胁可能远高于数字评分所呈现的结果。因此,企业漏洞管理策略除了关注高风险漏洞,也需要结合真实攻击场景、利用可能性与攻击链价值,建立更符合现代威胁环境的风险评估方式。
截至本文撰写时,Rapid7 发现的 CVE-2026-55040 尚未有公开可用的概念验证程序。由于该漏洞仍然包括 SharePoint 远程代码执行攻击链中的另一项未公开漏洞,研究团队与 Microsoft 尚未发布完整利用细节,以降低漏洞提前被武器化的风险。


评论1次
SharePoint这波认证绕过值得关注。关键点不在CVE-2026-55040本身,而是它和8月那个未公开漏洞组成的攻击链——先绕过认证再RCE,这种组合拳对企业环境杀伤力很大。现在POC没公开是好事,但8月补丁一出就得盯着了,建议提前把SharePoint的网络边界收一收。
CVE-2026-56164这个低分高危挺有意思,CVSS 5.3但已经在野利用。说明漏洞评分体xi有时候确实滞后于实际威胁,尤其是配合自动化工具或者和其他漏洞联动的时候。这类漏洞容易被忽略,反而是攻击者的香饽饽。
AD FS那堆漏洞值得重点盯一下。身份认证基础设施出问题了,后续横向、令牌窃取都能跟上。混合云环境下AD FS往往是攻击链的中枢,拿到高权限直接影响到云端联合信任。
BitLocker那个物理访问漏洞别不当回事。设备丢失、内部人、司法取证场景都是真实存在的,特别是有出国差旅或者托管设备的企业。
LegacyHive这类看似小打小闹的漏洞,攻击者往往拿来作为信息收集或者权限维持的中间步骤。别单独看影响,要串起来想攻击路径。
关于EOL产品,SharePoint 2016/2019没ESU了还在跑的话,网络隔离是最低成本的缓解手段,别裸奔在公网上。