Fem dager før Patch Tuesday varslet Microsoft at kundene ville se «et høyere volum av sikkerhetsoppdateringer i hver sikkerhetsutgivelse», fordi KI nå finner svakheter tidligere i utviklingsløpet. 14. juli kom regningen. Microsoft lukket flere sårbarheter enn i noen tidligere månedsoppdatering, og to av hullene blir allerede utnyttet i angrep.
Nøyaktig hvor mange er omstridt, og det sier noe i seg selv. Tenable teller 569 CVE-er i Microsofts egne produkter, BleepingComputer lander på 570, mens The Hacker News leser Security Update Guide som 622 unike CVE-er og Zero Day Initiative teller 621. Uansett hvilken telling du legger til grunn, er det mer enn det dobbelte av juni-rekorden på 206.
De to som utnyttes nå, er rettighetseskaleringer, ikke spektakulære fjernkjøringshull. CVE-2026-56164 rammer selvhostet SharePoint Server, og CVE-2026-56155 rammer Active Directory Federation Services, altså boksen som signerer innloggingene i resten av miljøet. Microsoft krediterer hendelseshåndterere hos Mandiant, Googles FLARE-team og sitt eget DART-team, noe som peker mot at hullene ble funnet inne i pågående angrep. SharePoint-hullet er samtidig scoret til bare 5,3 av 10.
Det er her det treffer deg som drifter noe selv. Når én utgivelse bærer 600 CVE-er og en stor andel er merket «High» eller «Critical», sorterer ikke «kritisk» lenger noe som helst. Månedens to utnyttede hull er begge middels scoret. Samtidig krymper vinduet du har: så snart patchen er ute, kan angripere sammenligne den mot forrige bygg, finne hullet den lukker og bygge et fungerende exploit før de fleste er ferdige med å teste.
«Sorter etter hva som faktisk utnyttes, med KEV, EPSS og Microsofts exploited-flagg, ikke etter score.» — The Hacker News
For deg som bygger KI-prosjekter er det Developer Tools-bunken som stikker seg ut: 27 sikkerhetshull på tvers av Visual Studio, VS Code og GitHub Copilot, i hovedsak injeksjon og path traversal. Ingen av dem er merket som utnyttet, men de ligger i verktøykjeden du koder i til daglig.
Hva bør du gjøre?
- Patch SharePoint Server først hvis du kjører den selv. Samme dag var også siste dag med utvidet støtte for SharePoint Server 2016 og 2019, og ingen av dem har et betalt ESU-program å falle tilbake på.
- Ikke vent på at hullene dukker opp i CISAs KEV-katalog. Ingen av de to lå der da The Hacker News gikk gjennom utgivelsen, men Microsofts egen exploited-flagg er allerede satt.
- Revider RC4-bruken før du patcher hvis du har Kerberos i miljøet. Juli-utgivelsen fjerner rollback-bryteren RC4DefaultDisablementPhase, og tjenestekontoer som fortsatt ber om RC4-billetter kan feile autentisering i det oppdateringen lander.