Хотя о грядущем «цунами уязвимостей» эксперты предупреждали уже в апреле, сразу же после анонса ИИ-модели Mythos, реальные подтверждения начали приходить летом. Июньский «вторник» патчей был очень крупным и на тот момент рекордным (около 200 CVE), а прямо перед ним были выпущены сотни исправлений в Chromium и основанных на нем браузерах, включая Chrome и Microsoft Edge. Но июль показал новую тенденцию во всей красе. Во вчерашнем Patch Tuesday закрыто 570 уязвимостей в продуктах Microsoft, а если посчитать «платформенные» патчи, применяемые Microsoft на своих серверах, счет возрастает до 620. И это без учета 470 дефектов в Chromium. Всего за шесть месяцев в Редмонде уже устранили больше дефектов, чем за любой предыдущий год за 20 лет наблюдений.
В зависимости от того, какие продукты включать в итоговые цифры, число CVE может немного отличаться, разные эксперты публикуют число 569, 570, 621, 622, но при трехкратном превышении числа над предыдущим пакетом обновлений и пяти–десятикратном — над типовыми цифрами прошлого года это уже просто погрешность измерения.
Устраненные уязвимости распределяются по классам так: 254 — повышение привилегий (EoP), 145 — выполнение произвольного кода (RCE), 102 — раскрытие информации (information disclosure), 35 — отказ в обслуживании (DoS), 17 — обход функций безопасности (security feature bypass) и 16 — подделка информации (spoofing). На долю EoP пришлось почти 44% релиза, RCE — четверть. Эксперты Rapid7 отдельно отмечают 416 багов в самой Windows (тоже рекорд) и то, что заметки к релизу больше не перечисляют CVE поштучно. Вместо списка — сводная таблица по продуктовым семействам и новый раздел Notable CVEs. В нем, к слову, Microsoft умудрилась дважды указать CVE-2026-56155 вместо другого зиродея.
Частично эта лаконичность объясняется тем, что пакет обновлений затрагивает очень широкую линейку продуктов. Обновлены и очень старые, редко используемые компоненты, вроде драйверов музыки MIDI, и даже игры, включая Age of Empires II (CVE-2026-50663) и Minecraft Bedrock Dedicated Server, где устранена мощная CVE-2026-55010 с CVSS 9.8 — переполнение кучи ведет к RCE без аутентификации.
Из всего набора только 3 уязвимости классифицированы как зиродеи и 59 получили статус критических. Среди критических дефектов 48 приводят к RCE, 9 — к повышению привилегий, одна — к обходу функций безопасности и одна позволяет спуфинг.
Уязвимости, эксплуатируемые в реальных атаках или известные до патча
CVE-2026-56155 (CVSS 7.8) — повышение привилегий в Active Directory Federation Services. Из-за недостатков контроля доступа пользователь с низкими локальными привилегиями может повысить права до администраторских. Подробности об атаках, в которых эта уязвимость используется, не приводятся, но в описании благодарят сотрудников Microsoft DART, то есть команду реагирования на реальные инциденты. Уязвимость уже добавлена в каталог CISA KEV.
CVE-2026-56164 (CVSS 5.3) — повышение привилегий через Microsoft SharePoint Server: отсутствие аутентификации для критичной функции. Сложность атаки с применением этой уязвимости низкая, аутентификации и участия пользователя не требуется, а Microsoft прямо пишет, что атакующему не нужно глубокого знания системы. Под ударом SharePoint Enterprise Server 2016, Server 2019 и Subscription Edition. За обнаружение благодарят экспертов Mandiant Incident Response, Google Cloud, FLARE OTF и анонима — список благодарностей опять читается как расшифровка активного инцидента, причем не единичного. До установки патча помогает включение AMSI с режимом Request Body Scan = Full, но это временная мера, а не замена обновлению. Тоже уже добавлена в CISA KEV.
Третий зиродей «всего лишь» разглашен до устранения, про эксплуатацию в атаках не сообщают. Впрочем, это обусловлено природой дефекта — перед нами очередной обход шифрования BitLocker CVE-2026-50661 (CVSS 6.1). Для эксплуатации требуется физический доступ к машине. Microsoft считает эксплуатацию маловероятной, авторство приписано «анониму». Предположительно, патч закрывает GreatXML — обход BitLocker, который исследователь под ником Chaotic Eclipse (Nightmare Eclipse) опубликовал 10 июня, на следующий день после июньского Patch Tuesday. Приоритетному патчингу подлежат ноутбуки и все, что покидает периметр.
Критические уязвимости в июльском Patch Tuesday
Критических дефектов много, поэтому отметим лишь наиболее срочные. В нашем списке рейтинг CVSS нигде не опускается ниже 9,6.
CVE-2026-57092 (CVSS 9,9) — EoP в VMSwitch, побег из изолированной среды с полной компрометацией хоста. Ошибка класса use-after-free позволяет атакующему с низкими привилегиями пересечь границу виртуальной машины и добраться до хоста. ZDI напоминает, что нечто похожее показывали на Pwn2Own Berlin на ESXi. Пользователям Hyper-V нужно обновлять VMSwitch уже сегодня.
CVE-2026-56190 (CVSS 9,8) — RCE в RDP, без аутентификации, по сети, участие пользователя не требуется. Те, у кого RDP-серверы доступны через Интернет, находятся под критической угрозой, такие конфигурации практически нежизнеспособны в 2026 году.
CVE-2026-50518 (CVSS 9,8) — RCE в сервере DHCP: переполнение кучи, без аутентификации, по сети. И это не единственная беда DHCP Server. В этом релизе он собрал еще CVE-2026-50370, -56159 и -48564, а DHCP-клиент — CVE-2026-54128.
CVE-2026-50522 и CVE-2026-58644 (обе CVSS 9,8) — пара RCE в серверах SharePoint: десериализация недоверенных данных, без аутентификации и без участия пользователя. Хотя Microsoft называет надежность эксплойта «недоказанной», это, мягко скажем, неправда. Для CVE-2026-50522 рабочий эксплойт был продемонстрирован на Pwn2Own Berlin. В той же группе — CVE-2026-55040 (CVSS 9,1), обход аутентификации, найденный экспертами Rapid7. Эксплуатация этой уязвимости — первое звено цепочки атаки, второе пока под эмбарго и будет раскрыто (и закрыто) в августовском Patch Tuesday. Вместе они дают RCE без аутентификации. При всем этом на июльский «вторник патчей» приходится конец поддержки SharePoint Server 2016 и 2019.
CVE-2026-56188 (CVSS 9,8) — RCE в Windows Server Network Driver. Сложность эксплуатации высокая (TOCTOU), но при удаче эта ошибка позволяет выполнить привилегированный код по сети без участия пользователя, то есть он позволяет писать сетевые черви.
CVE-2026-55008 (CVSS 9,6) — спуфинг в Exchange Server (непонятно, почему это названо спуфингом, в описании черным по белому написано XSS). Атакующий отправляет специально сформированное письмо, жертва просто открывает его в OWA — и произвольный JavaScript выполняется в ее сессии.
Причина «цунами» и как с ним справиться
Если такие пакеты патчей станут нормой, без радикального пересмотра и автоматизации процессов управления уязвимостями команды ИБ и ИТ не будут заниматься ничем, кроме обновлений.
Есть предпосылки к тому, что это — новая норма и продлиться «цунами» может многие месяцы и, возможно, годы. У Microsoft эта причина называется MDASH — Multi-Model Agentic Scanning Harness. Microsoft за несколько дней до релиза официально признала, что их ИИ-система поиска уязвимостей активно анализирует критические компоненты Windows, и предупредила клиентов: объем обновлений в каждом релизе будет только расти. При этом Редмонд не одинок, недавно об увеличении частоты обновлений объявили, например, Adobe и Cisco.
Как адаптировать процессы и технологии организации к такому ритму и объему обновлений?
- Автоматизировать глубокое сканирование хостов, ведение списка приоритетных исправлений, установку применимых обновлений и контроль того, что бреши реально закрыты. При 500+ дефектах в месяц ручной перенос тикетов из сканера в таск-трекер или запуск задач обновления просто не масштабируются.
- Грамотно приоритизировать усилия. Релиз такого объема почти невозможно закрыть целиком и сразу, поэтому процесс, учитывающий критичность уязвимости, возможность ее реальной эксплуатации в инфраструктуре компании и бизнес-последствия, становится абсолютно необходим.
- Настроить организационные процессы. Технически патч часто ставится за минуты, а вот согласование может ходить по инстанциям неделями, как и сам процесс заведения и сопровождения этого согласования. Управление уязвимостями должно быть обвязано максимально коротким, простым, автоматически документируемым процессом согласования. Если решение по конкретной уязвимости требует выделить технологическое окно и получить одобрение целого комитета — процесс должен иметь высокий приоритет у комитета. Иначе к моменту установки Microsoft выкатит следующие 600 дефектов.
Для централизованного управления уязвимостями «Лаборатория Касперского» выпустила специализированное решение Kaspersky Vulnerability Management. Помимо всего прочего, оно позволяет находить и приоритизировать уязвимости, учитывая тренды угроз и частоту эксплуатации схожих недостатков в конкретной отрасли. Это помогает ИБ-специалистам оперативно определять, какие «бреши» требуют немедленного реагирования. Узнать подробнее о решении можно на официальной странице Kaspersky Vulnerability Management.
уязвимости
Советы