Вчера не беше обикновен Patch Tuesday. Microsoft пусна корекции за 570 до 622 уязвимости (в зависимост кой брои), над три пъти повече от миналия месец, който и без това беше рекорден с цели 198. Петдесет и девет от тях са с критична степен. Две се експлоатират активно в момента. И само часове след пускането на пачовете, един изследовател публикува работещ zero-day експлойт, който работи на напълно обновени системи.
Източник: BleepingComputer
Ако IT екипът ви гледа стена от ъпдейти и се чуди откъде да започне, разбирам ви. Нека ви обясня какво наистина има значение за бизнеса ви.
Двата zero-day експлойта, които трябва да пачнете днес
CVE-2026-56164 е уязвимост в SharePoint Server, която позволява на неаутентикиран атакуващ да ескалира привилегии от разстояние. Без пароли, без действие от потребителя. Екипът за реагиране на инциденти на Microsoft и Mandiant я откриха по време на разследвания на активни атаки, което означава, че реални организации вече са били ударени. CISA я добави в каталога за известни експлоатирани уязвимости (KEV) на 14 юли и даде срок на федералните агенции до 17 юли да я пачнат. Вашият срок трябва да е подобен.
CVE-2026-56155 засяга Active Directory Federation Services (AD FS), системата, която управлява удостоверяването за цялата ви Microsoft среда. Това е пропуск за повишаване на привилегии, който позволява на атакуващ с достъп да се издигне до домейн администратор. Също активно експлоатиран. Също добавен в CISA KEV.
Има и CVE-2026-50661, заобикаляне на BitLocker, което е публично оповестено, но все още не се експлоатира. Засега. Ако някой получи физически достъп до устройство, може да заобиколи напълно дисковото криптиране.
Zero-day експлойтът, който пачовете не могат да оправят
Часове след като Patch Tuesday излезе, изследовател, известен като Chaotic Eclipse, публикува proof-of-concept експлойт, наречен "LegacyHive", насочен срещу Windows User Profile Service. Експлойтът позволява на стандартен потребител да зареди registry hive на друг потребител (включително на администратор) и да ескалира привилегии. И ето го ключовото: работи на всички поддържани Windows версии, включително системи с юлските пачове за 2026.
Няма пач за това. Не днес, най-вероятно не и утре. Ако атакуващ получи дори минимален достъп до някоя от машините на служителите ви, може да използва LegacyHive и да стане администратор за минути. За МСП без инструменти за откриване и реагиране на крайни точки, този един компрометиран компютър може да доведе до пълно превземане на домейна.
Какво да направите тази седмица
Не можете да пачнете 570 неща наведнъж. Ето приоритетния ред:
- Първо пачнете SharePoint и AD FS. Активно експлоатираните zero-day уязвимости (CVE-2026-56164 и CVE-2026-56155) са с най-висок приоритет. Ако ползвате локален SharePoint, обмислете да го изключите от интернет, докато приложите ъпдейта.
- След това се насочете към списъка с CVSS 9.0+. Windows VMSwitch VM escape (CVSS 9.9), Microsoft Copilot RCE (CVSS 9.6), Exchange Server spoofing (CVSS 9.6). Това са уязвимостите, които причиняват сериозни щети, ако бъдат експлоатирани.
- Ограничете локалния администраторски достъп. LegacyHive няма пач, така че най-добрата ви защита е да ограничите кой какво може да изпълнява на крайните устройства. Принципът на минималните привилегии е вашият най-добър съюзник тук.
- Предупредете екипа си за фалшиви GitHub хранилища. Arctic Wolf току-що откри 292 фалшиви хранилища, които разпространяват инфостилъри, насочени към бизнес пароли. Ако някой от екипа ви сваля "безплатни" инструменти от случайни GitHub профили, сега е моментът за този разговор.
Ако ви се струва непосилно, не сте сами. Обемът на пачовете ще продължи да расте. Microsoft открито признава, че AI базираните инструменти за откриване намират все повече пропуски по-бързо. Да имате ясна стратегия за пачване (или още по-добре, партньор, който да се грижи за триажа вместо вас) все повече се превръща от приятен бонус в нужно умение за оцеляване.
Нека поговорим за стратегията ви за управление на пачове
30-минутен разговор, без продажби, само практически стъпки.