Microsoft vydal rekordní Patch Tuesday. Dvě zero-day zranitelnosti jsou už aktivně zneužívané
Microsoft zveřejnil historicky nejrozsáhlejší Patch Tuesday. Červencový balík bezpečnostních aktualizací opravuje podle použité metodiky 569 až 622 zranitelností napříč Windows, Office, SharePointem, Active Directory i dalšími produkty. Dvě zero-day chyby byly podle Microsoftu aktivně zneužívány ještě před vydáním oprav a americká agentura CISA je zařadila mezi nejrizikovější známé zranitelnosti.

Microsoft zveřejnil červencový Patch Tuesday, který se okamžitě zapsal do historie. Bezpečnostní společnosti se sice rozcházejí v celkovém počtu opravených zranitelností – podle použité metodiky uvádějí 569 až 622 CVE – všechny se však shodují na jednom: jde o vůbec největší měsíční balík bezpečnostních aktualizací, jaký kdy Microsoft vydal.
Rozdíly v počtech nejsou způsobeny chybou. Jednotlivé společnosti používají odlišnou metodiku započítávání položek v Microsoft Security Update Guide, některé slučují duplicitní produktové větve a jiné zahrnují také zranitelnosti publikované dříve během měsíce. Z pohledu správců infrastruktury je ale podstatnější samotný rozsah oprav.
Microsoft tentokrát vydal bezpečnostní aktualizace pro desítky produktů včetně Windows, Office, SharePointu, Active Directory, SQL Serveru, Hyper-V, DHCP Serveru, Microsoft Defenderu, Exchange Serveru nebo Dynamics.
Dvě zero-day chyby byly zneužívány ještě před vydáním oprav
Největší pozornost si zaslouží dvě zranitelnosti, které byly podle Microsoftu aktivně zneužívány ještě před zveřejněním bezpečnostních aktualizací.
První z nich, CVE-2026-56164, zasahuje Microsoft SharePoint Server provozovaný v on-premises prostředí.
Jedná se o chybu způsobenou nedostatečným ověřením kritické funkce. Neautentizovaný útočník může prostřednictvím speciálně vytvořeného síťového požadavku obejít kontrolu autentizace a získat neoprávněná oprávnění v SharePoint Serveru. Přestože Microsoft nezveřejnil technické detaily útoků, potvrdil, že byla zranitelnost aktivně zneužívána ještě před vydáním opravy.
Druhou aktivně zneužívanou zranitelností je CVE-2026-56155 v Active Directory Federation Services (AD FS).
V tomto případě jde o lokální eskalaci oprávnění. Útočník, který již disponuje autorizovaným přístupem k systému, může získat administrátorská oprávnění nad serverem AD FS. Přestože nejde o vzdáleně zneužitelnou chybu, představuje významné riziko zejména ve fázi, kdy útočník již pronikl do podnikové infrastruktury a snaží se rozšířit své možnosti.
Microsoft zároveň opravil veřejně známou zranitelnost CVE-2026-50661, která umožňuje při fyzickém přístupu obejít ochranu BitLockeru. Společnost v tomto případě nepotvrdila aktivní zneužívání, exploit byl však veřejně známý ještě před vydáním bezpečnostní aktualizace.
Proč jsou právě SharePoint a AD FS tak důležité
Nebezpečnost těchto zranitelností nespočívá pouze v jejich technickém provedení, ale především v systémech, které zasahují.
SharePoint Server představuje v mnoha organizacích centrální platformu pro ukládání dokumentů, interní aplikace, projektové řízení i podnikové workflow. Úspěšné napadení může útočníkům otevřít cestu k citlivým firemním datům nebo vytvořit výchozí bod pro další pohyb v síti.
Stejně důležitou roli hraje Active Directory Federation Services, které zajišťují federované přihlašování a vydávání autentizačních tokenů pro další podnikové služby. Kompromitace této služby může útočníkům významně usnadnit převzetí identit, získání vyšších oprávnění nebo dlouhodobé udržení přístupu v napadeném prostředí.
CISA zařadila obě chyby mezi aktivně zneužívané zranitelnosti
Význam obou zero-day zranitelností potvrzuje také americká agentura CISA, která je bezprostředně po zveřejnění zařadila do katalogu Known Exploited Vulnerabilities (KEV).
Do tohoto seznamu se dostávají pouze zranitelnosti, u kterých existují důkazy o jejich aktivním zneužívání v reálných útocích.
Pro americké federální instituce znamená zařazení do katalogu KEV povinnost instalovat opravy v předepsaném termínu. Pro ostatní organizace jde o jasný signál, že by tyto aktualizace měly patřit mezi nejvyšší priority.
Rekordní balík obsahuje desítky dalších kritických oprav
Přestože největší pozornost získaly dvě aktivně zneužívané zero-day chyby, červencový Patch Tuesday obsahuje také řadu dalších kritických zranitelností.
Mezi nejzávažnější patří například několik chyb umožňujících vzdálené spuštění kódu v DHCP Serveru, kritické zranitelnosti v Microsoft Dynamics NAV a Dynamics 365 Business Central nebo desítky chyb umožňujících eskalaci oprávnění v jádře Windows.
Podle statistik bezpečnostní společnosti Tenable tvoří téměř 44 % všech opravených zranitelností právě chyby umožňující eskalaci oprávnění. Přibližně čtvrtinu pak představují zranitelnosti umožňující vzdálené spuštění kódu.
To ukazuje, že letošní červencový Patch Tuesday není výjimečný pouze rekordním počtem vydaných oprav, ale také množstvím kritických komponent, kterých se týká.
SharePoint 2016 a 2019 zároveň končí s podporou
Časování vydání bezpečnostních aktualizací je o to významnější, že 14. července 2026 skončila rozšířená podpora produktů SharePoint Server 2016 a SharePoint Server 2019.
Organizace, které tyto verze stále provozují, by měly co nejdříve naplánovat migraci na podporovanou platformu. Současná aktualizace sice ještě přináší opravu aktivně zneužívané zero-day zranitelnosti, budoucí kritické bezpečnostní chyby už ale standardně záplatovány nebudou.
Co by měli správci udělat co nejdříve
Bezpečnostní odborníci doporučují především bezodkladně nasadit červencové aktualizace na všech serverech využívajících SharePoint Server nebo Active Directory Federation Services.
Současně je vhodné:
- prověřit servery na známky kompromitace,
- zkontrolovat nově vytvořené privilegované účty nebo neobvyklé změny konfigurace,
- ověřit správnou funkčnost integrace AMSI (Antimalware Scan Interface) na SharePoint Serverech,
- prioritně opravit i další kritické zranitelnosti v DHCP Serveru, Dynamics a dalších podnikových systémech,
- zahájit plán migrace ze SharePoint Serveru 2016 a 2019.
Vzhledem k potvrzenému aktivnímu zneužívání obou zero-day zranitelností lze očekávat, že se v následujících dnech zvýší počet pokusů o kompromitaci dosud neaktualizovaných systémů.
Microsoft očekává více nalezených zranitelností i do budoucna
Rekordní počet oprav pravděpodobně není jednorázovou výjimkou. Microsoft v posledních týdnech představil novou interní platformu MDASH (Microsoft Detection and Analysis Security Harness), která využívá agentní přístup a umělou inteligenci pro automatizované vyhledávání bezpečnostních chyb napříč svými produkty.
Společnost již dříve naznačila, že díky těmto nástrojům lze očekávat vyšší počet objevených zranitelností i častější bezpečnostní opravy. Vyšší čísla tak nemusí znamenat méně bezpečný software, ale naopak efektivnější odhalování chyb ještě před jejich zneužitím.
Červencový Patch Tuesday zároveň ukazuje, že samotný počet opravených zranitelností už není nejdůležitějším ukazatelem rizika. Mnohem významnější je skutečnost, že dvě z nich byly aktivně zneužívány ještě před vydáním oprav a zasahují infrastrukturu, na které stojí autentizace, sdílení dokumentů i každodenní provoz tisíců organizací po celém světě.