شحنت مايكروسوفت أكبر التصحيح الثلاثاء تم تسجيله اليوم، واثنان من الإصلاحات تغلق الثغرات التي يستغلها المهاجمون بالفعل. يغطي الإصدار 622 من التهديدات الشائعة الخاصة بشركة Microsoft وفقًا لعدد دليل تحديث الأمان الخاص بها، أي أكثر من ثلاثة أضعاف الرقم القياسي السابق لشهر يونيو والذي يبلغ حوالي 200.
هاتان الحشرتان الحيتان هما من يجب الإمساك بهما أولاً. تقوم Microsoft باعتماد المستجيبين للحوادث لكليهما. كلاهما عبارة عن عيوب في رفع الامتيازات في البنية الأساسية للهوية والتعاون: CVE-2026-56164 في SharePoint Server المحلي وCVE-2026-56155 في خدمات اتحاد Active Directory.
ولا يعد أيًا من العناصر المهمة لتنفيذ التعليمات البرمجية عن بُعد. إنها أخطاء امتيازية في نظامين مهمين أكثر مما توحي نتائجهما: مخزن مستندات الشركة، والمربع الذي يوقع تسجيلات الدخول الخاصة به.
يومين صفر للتصحيح أولا
CVE-2026-56164، وهو عيب في SharePoint Server تقول Microsoft إنه يتم استغلاله في الهجمات، ويتيح لمهاجم غير مصادق تصعيد الامتيازات عبر الشبكة. لا توجد بيانات اعتماد، لا يوجد تفاعل للمستخدم، عن بعد. ونسبت مايكروسوفت ذلك إلى المستجيبين للحوادث في Mandiant وفريق FLARE التابع لشركة Google، مما يشير إلى اكتشاف داخل الهجمات النشطة، على الرغم من أن Microsoft لم تذكر كيف تم استغلالها أو من قبل من.
إذا قمت بتشغيل SharePoint مستضاف ذاتيًا، فهذا هو الشيء الذي يجب عليك الحصول عليه أولاً، وهناك ساعة ثانية عليه: اليوم هو أيضًا اليوم الذي يصل فيه SharePoint Server 2016 و2019 إلى نهاية الدعم الموسع. على عكس Windows Server أو SQL Server، لا يوجد لدى أي منهما برنامج ESU مدفوع يمكن الاعتماد عليه.
وبعيدًا عن التصحيح، يشير تقرير Microsoft إلى أن تمكين AMSI في الوضع الكامل على الخادم يحد من الهجوم. لقد كان SharePoint نقطة جذب للمهاجمين منذ أن مزقت سلسلة ToolShell الخوادم غير المصححة في عام 2025، ولم تتوقف عن كونها كذلك.
CVE-2026-56155، وهو عيب في خدمات اتحاد Active Directory تشير إليه Microsoft أيضًا على أنه مستغل، ويتيح للمهاجم الذي تمت مصادقته بالفعل رفع الامتيازات محليًا من خلال عناصر تحكم وصول ضعيفة. حصلت وحدة الاستجابة للحوادث DART التابعة لشركة Microsoft على الفضل.
AD FS هو الصندوق الذي يوقع الرموز المميزة لبقية الصناديق العقارية، وهذا هو السبب في أن الخلل المسمى “محلي” على هذا المضيف يستحق اهتمامًا أكبر مما يوحي به الملصق. ولم تذكر مايكروسوفت ما هي الامتيازات التي تمنحها، أو كيف استخدمها المهاجمون.
جدير بالمعرفة لأي شخص يتتبع المواعيد النهائية للمعالجة: لا يوجد أي من برامج مكافحة التطرف العنيف في كتالوج الثغرات الأمنية المستغلة المعروفة لدى CISA حتى كتابة هذه السطور. إن تصنيف قابلية الاستغلال الخاص بشركة Microsoft يشير بالفعل إلى أنهما مستغلان. لا تنتظر قائمة KEV لجعلها رسمية.
تقوم Microsoft أيضًا بتصنيف خطأ SharePoint بدرجة منخفضة إلى حد ما من حيث الخطورة، وهو تذكير جيد بأن تصنيف الخطورة ليس هو الشيء الذي يجب فرزه بحلول هذا الشهر.
خطأ ثالث وهبوط سلسلة SharePoint في أغسطس
تم الكشف عن يوم الصفر الثالث علنًا ولكنه لم يتعرض للهجوم: CVE-2026-50661، وهو تجاوز آخر لـ BitLocker. فهو يحتاج إلى الوصول الفعلي إلى الجهاز، لذلك فهو ليس حالة طوارئ عن بعد. تصحيحه، لكنه لا يقفز في قائمة الانتظار. وهي تواصل سلسلة من تجاوزات BitLocker التي تمتد عبر bitskrieg وYellowKey في وقت سابق من هذا العام.
رسم SharePoint إصلاحًا ثانيًا ملحوظًا. كشفت Rapid7 Labs عن CVE-2026-55040، وهو تجاوز مصادقة JWT قاموا بإنشائه من أجل دخولهم إلى Pwn2Own Berlin. تعتمد النتيجة على من تسأل: Rapid7 يضعه عند 5.3 ويقول إن Microsoft خصصته بدرجة خطورة متوسطة، بينما تقرأ ZDI الإصدار على أنه بالغ الأهمية عند 9.1.
ما يفعله ليس محل نزاع. قام Rapid7 بربطه بخلل منفصل في تنفيذ التعليمات البرمجية عن بعد للوصول إلى RCE غير مصادق عليه ضد خادم ضعيف، ولم يتم تصحيح نصف RCE بعد؛ ومن المقرر أن تقوم Microsoft بإصلاح المشكلة في أغسطس.
وهذا يجعل شهر يوليو يتجاوز الإصلاح الذي يكسر السلسلة. يخبرك انتشار أربع نقاط على خطأ واحد أيضًا بقيمة رقم الخطورة هذا الشهر.
تنظيف RC4 الذي يمكنه كسر عمليات تسجيل الدخول
ينهي هذا التحديث أيضًا عملية تقوية Kerberos RC4 لعدة سنوات من Microsoft. يؤدي طرح يوليو إلى إزالة مفتاح التراجع RC4DefaultDisablementPhase، وهو الأمر الذي اعتمد عليه مسؤولو فتحة الهروب منذ أن بدأت Microsoft الحملة في يناير.
بعد ذلك، يعمل RC4 فقط مع الحسابات التي تم تكوينها بشكل صريح للسماح بذلك. إذا كان أي حساب خدمة في بيئتك لا يزال يطلب تذاكر RC4 Kerberos، فمن الممكن أن تفشل المصادقة في اللحظة التي يصل فيها التحديث.
الترتيب مهم: التدقيق أولاً، باستخدام أحداث تدقيق RC4 التي أضافتها Microsoft في يناير، ثم قم بتدوير كلمات المرور على حسابات الخدمة التي تم وضع علامة عليها، بحيث يقوم Windows بإنشاء مفاتيح AES لها، ثم التصحيح. يعمل التدوير على إصلاح الحسابات التي تفتقد مفاتيح AES فقط.
أي شيء مثبت على RC4 عن طريق التكوين، أو أي عميل قديم لا يتحدث أي شيء آخر، يحتاج إلى إصلاح خاص به قبل وصول التحديث. هذا لا يجعلك تنتهك. إنه يكسر الأشياء، لكنه سيتصل بك في الساعة الثانية صباحًا إذا تخطيت التدقيق.
لماذا سجل شهر هادئ رقما قياسيا
يعد شهر يوليو تاريخيًا واحدًا من أخف الشهور في تقويم Microsoft، مما يجعل الإصدار بهذا الحجم بارزًا. يمثل Windows وحده 416 خطأ من أصل 622، وتحسب ZDI 95 خطأ في تنفيذ التعليمات البرمجية عن بعد عبر الإصدار.
هذا هو المكان الذي يجلس فيه الباقي، وما الذي يستحق الانسحاب من كل كومة:
| عائلة المنتج | مكافحة التطرف العنيف | يستحق الانسحاب |
|---|---|---|
| ويندوز | 416 | كلا AD FS يوم الصفر (CVE-2026-56155) وتجاوز BitLocker الذي تم الكشف عنه (CVE-2026-50661) العيش هنا. أعلى نتيجة للإصدار هي VMSwitch RCE، CVE-2026-57092 عند 9.9. بالإضافة إلى خمسة أخطاء DHCP RCEs و21 خطأ في برنامج تشغيل NTFS وReFS يقرأها ZDI كسبب جذري مشترك واحد. |
| مكتب | 82 | تحسب مرة واحدة. تدرج Microsoft نفس الـ 82 مرة أخرى ضمن مسار منفصل لـ Office 2016، ولهذا السبب أبلغت بعض المنافذ عن 164. |
| مايكروسوفت ايدج | 46 | تعتبر ZDI 21 شركة خاصة بشركة Microsoft بدلاً من إعادة قوائم Chromium. |
| أدوات المطور | 27 | تتجاوز ميزة الأمان عبر Visual Studio وVS Code وGitHub Copilot، وغالبًا ما يتم الحقن واجتياز المسار. |
| خادم شيربوينت | 17 | يوم الصفر المستغل (CVE-2026-56164) وتجاوز سلسلة Rapid7 (CVE-2026-55040)، بالإضافة إلى زوج RCE الحرج بما في ذلك CVE-2026-50522 عند 9.8. |
| أزور | 11 | لم يتم وضع علامة على أي شيء على أنه عاجل. |
| خادم SQL | 8 | زوج RCE, CVE-2026-54117 و CVE-2026-54118كلاهما 8.8. |
| مدافع | 5 | اثنين من RCEs الحرجة. |
| خادم التبادل | 5 | XSS المخزنة في Outlook Web Access، CVE-2026-55008، عند 9.6. تقوم Microsoft بتخزينه تحت الانتحال، مما يقلل من مبيعاته. |
| آخر | 5 | لم يتم وضع علامة على أي شيء على أنه عاجل. |
تم الحصول على هذه الإحصائيات من دليل تحديث الأمان الخاص بشركة Microsoft، والذي يبلغ إجماليه 622 تحديًا مشتركًا فريدًا هذا الشهر. وصلت ZDI، التي تعد بشكل مستقل، إلى 621، ومراجعتها لشهر يوليو هي مصدر وسائل الشرح لكل عائلة.
اتصلت Microsoft بهذا قبل خمسة أيام. وفي منشور بتاريخ 9 يوليو، طلبت من العملاء توقع “حجم أكبر من التحديثات الأمنية المضمنة في كل إصدار أمني” حيث يساعدها الذكاء الاصطناعي في الكشف عن المزيد من المشكلات. يتضمن هذا العمل MDASH، نظام المسح الوكيل متعدد النماذج، الذي عثر بنفسه على 16 خللًا في تصحيح مايو يوم الثلاثاء. لم تذكر Microsoft عدد البرامج الـ 622 التي تم إصدارها في شهر يوليو والتي خرجت من خط الأنابيب هذا.
نفس الأتمتة تقطع كلا الاتجاهين. بمجرد شحن التصحيح، يمكن للمهاجمين مقارنته بالإصدار الأخير، والعثور على الخطأ الذي يتم إغلاقه، وبناء برمجية استغلال فعالة قبل أن تنتهي معظم المتاجر من الاختبار. وهذا يلتهم وسادة “الانتظار لمدة أسبوع” القديمة ويقلص الفجوة المتاحة لاستغلال الأربعاء.
كما أنه يشجع الفرز القائم على CVSS. عندما يحتوي أحد الإصدارات على ما يزيد عن 600 من التهديدات الشائعة، ويتم تصنيف حصة كبيرة منها على أنها عالية أو حرجة، تتوقف كلمة “حرج” عن فرز أي شيء. الخللان اللذان تم استغلالهما هذا الشهر يوضحان هذه النقطة: ولا يوجد عنوان رئيسي 9.8، وكلاهما عبارة عن عيوب امتياز متوسطة المستوى، وكلاهما قيد الاستخدام بالفعل.
قم بالفرز حسب ما يتم استغلاله، باستخدام علامة KEV وEPSS وعلامة Microsoft المستغلة، وليس حسب النتيجة، وقم بالتصحيح بشكل أسرع مما اعتدت عليه. الرقم الموجود على الصندوق يرتفع فقط.
