622个漏洞,一个前所未有的数字
还记得上个月微软修复206个CVE时,大家都觉得那是“历史新高”吗?那已经是过去式了。
7月补丁星期二,微软交出了一份让整个安全圈目瞪口呆的成绩单——622个微软自有产品的CVE。这还没算上另外428个影响Edge浏览器的Chromium漏洞。这个数字是6月的三倍多,以至于ZDI的安全专家Dustin Childs直接称之为——“漏洞启示录”(the bug apocalypse)。
💡 622个漏洞,63个被定为“严重”(Critical)。Windows独占416个。今年的CVE总数已超过过去二十年里任何完整年度的总量。
AI正在重新定义漏洞挖掘的“产能”。微软一周前就预告过——随着AI被更深度地应用于代码安全扫描,补丁数量只会越来越多。
先打这两个:正在被攻击的0Day
🔴 CVE-2026-56164:SharePoint Server权限提升漏洞
攻击者不需要任何账号、不需要用户交互,仅通过网络访问就能在SharePoint服务器上提升权限。
微软将此漏洞归功于Mandiant的应急响应团队和Google的FLARE团队——这意味着它是在真实攻击中被发现的。CISA已在7月14日将其列入“已知被利用漏洞目录”(KEV)。
⚠️ 7月14日也是SharePoint Server 2016和2019结束扩展支持的日期。与Windows Server或SQL Server不同,这两款产品没有付费的ESU(扩展安全更新)计划可以依赖。过了今天,不升级就没有安全补丁了。
临时缓解措施:微软建议在SharePoint服务器上启用AMSI(反恶意软件扫描接口)的“Full Mode”,可以有效阻断利用尝试。
🔴 CVE-2026-56155:AD FS权限提升漏洞
Active Directory Federation Services(AD FS)是企业的身份令牌签发中心。这个漏洞允许已认证的低权限攻击者在本地提升至管理员权限。
微软自己的DART(检测与响应团队)报告了这个问题。攻击者一旦拿下AD FS服务器,就能修改联合身份验证设置、窃取身份验证材料,甚至以此为跳板横向移动。
虽然CVSS评分只有7.8,但AD FS的“本地”和普通服务器的“本地”是两个概念——它签发的令牌掌控着整个企业域的信任关系。
📌 截至发稿,两个0Day均已在CISA KEV目录中。
第三个0Day:BitLocker物理绕过
CVE-2026-50661 是一个已被公开披露但尚未被大规模利用的BitLocker绕过漏洞。
需要物理接触设备才能利用,所以紧急程度低于前两个。但考虑到今年已经连续出现多起BitLocker绕过事件(bitskrieg、YellowKey),这个补丁也别拖太久。
SharePoint的“连环套”:今天修一半,下月修另一半
Rapid7 Labs在Pwn2Own柏林大赛上展示了一个JWT认证绕过漏洞(CVE-2026-55040)。
这个漏洞本身只是一个认证绕过——但Rapid7把它和另一个未公开的RCE漏洞链在一起,实现了无需认证的远程代码执行。
🔑 那个RCE漏洞要到8月补丁日才会修复。7月的补丁只是“拆链”——打断了攻击者的路径,但链条的另一半还没封死。
RC4的“大限”:不审计就等着半夜被叫醒
这次更新还完成了微软为期数月的Kerberos RC4加密淘汰计划。
7月更新移除了 RC4DefaultDisablementPhase 回滚开关。从此以后:
- RC4只对明确配置允许的账号生效
- 审计模式(Audit mode)被彻底移除,不再提供降级选项
任何还依赖RC4的遗留系统或服务账号,更新后可能直接认证失败。

微软公开表示,其多模型智能扫描系统MDASH正在以前所未有的速度发现漏洞。5月补丁日,MDASH独自贡献了16个漏洞。7月的622个里有多少来自AI?微软没有说,但答案显而易见。
自动化是一把双刃剑:
- 发现漏洞的速度在加快
- 攻击者逆向补丁、开发 exploits 的速度也在加快
那个“等一周再打补丁”的老习惯,正在成为过去式。当622个漏洞同时发布,当“严重”和“重要”的标签覆盖了大部分CVE,CVSS评分已经不再是一个有效的优先级排序工具。
🎯 新规则很简单:
- 先看“是否被利用”——KEV、EPSS、微软的exploited标记
- 再看业务影响——身份基础设施 > 办公软件 > 其他
- CVSS分数?仅供参考

资讯来源:The Register、Rapid7、Cyberscoop、ZDI等
对于这种漏洞爆发式的增长,云栈社区里不少做安全运维的朋友都在感慨,过去那种按部就班打补丁的节奏真的过时了。在AI加持的漏洞挖掘与攻击者愈发敏捷的今天,防守策略也必须随之进化。