Microsoft закрыла рекордные 570 уязвимостей за один Patch Tuesday и объяснила это работой ИИ

изображение: qwen
Microsoft в июльском Patch Tuesday от 14 июля устранила рекордные 570 уязвимостей, среди которых три ошибки нулевого дня. Две из них уже применялись в реальных атаках против корпоративных систем. Компания связывает такой объём с массовым подключением ИИ-агентов к анализу собственного кода и предупреждает о дальнейшем росте потока исправлений.
Для российских пользователей ситуация не менее болезненная, чем для западных. Windows, SharePoint и Active Directory по-прежнему работают в тысячах отечественных компаний, банков и государственных структур, а официальная поддержка Microsoft в России ограничена. Обновления приходят с задержками или через обходные маршруты, а часть организаций годами держит незакрытые версии продуктов, что превращает каждую новую волну CVE в дополнительный риск для российского корпоративного сектора.
Автоматизированный поиск дефектов радикально удешевил обнаружение слабых мест. Нейросетевые инструменты просматривают гигантские объёмы кода, ищут похожие ошибки и проверяют варианты быстрее любого исследователя вручную. Пользователи от этого выигрывают, потому что бреши закрываются раньше массовой эксплуатации. Корпоративные команды безопасности получают обратную сторону — каждый найденный баг превращается в задачу по тестированию и установке патча.
Категории июльского пакета распределились так:
- 254 уязвимости повышения привилегий;
- 145 ошибок удалённого выполнения кода;
- 102 проблемы раскрытия информации;
- 59 критических уязвимостей, из которых 48 относятся к RCE;
- остальные касаются обхода защитных функций, подмены и отказа в обслуживании.
Интересно, что рекордные 570 CVE не означают ухудшения качества продуктов Microsoft. Часть роста связана с тем, что инструменты научились видеть дефекты, которые раньше оставались незамеченными и годами существовали в коде без внимания исследователей.
Трей Форд, директор по стратегии и доверию Bugcrowd, назвал нынешний уровень новой нижней границей, а не пиком. Трей Форд считает, что искусственный интеллект резко снизил стоимость обнаружения дефектов — работа, для которой раньше требовалась команда исследователей и несколько недель, теперь выполняется автоматизированными системами за куда меньший срок. Трей Форд полагает, что выиграют не те компании, кто быстрее установил июльский пакет, а построившие процесс, способный выдерживать дальнейшее увеличение потока исправлений.
Первая эксплуатируемая ошибка нулевого дня получила идентификатор CVE-2026-56155 и затрагивает Active Directory Federation Services, где позволяет повысить полномочия на локальной системе. ADFS применяется для федеративной авторизации и единого входа в корпоративные сервисы, поэтому атакующий, уже закрепившийся в системе, получает через эту брешь расширенные права и возможность движения по инфраструктуре. Адам Барнетт, главный инженер-программист Rapid7, сообщил, что вместе с этим CVE Microsoft опубликовала ещё восемь исправлений для ADFS с рейтингом Important.
Вторая эксплуатируемая уязвимость CVE-2026-56164 находится в Microsoft SharePoint Server и тоже относится к повышению привилегий. Microsoft оценила сложность эксплуатации как низкую, а заранее полученные права атакующему не требуются. SharePoint нередко доступен большому числу сотрудников, хранит документы, внутренние порталы и корпоративную переписку. Американское агентство CISA рекомендовало организациям срочно усилить защиту SharePoint после обнаружения эксплуатации CVE-2026-56164 и двух более ранних проблем 2026 года.
Третьей ошибкой нулевого дня стала CVE-2026-50661, которая позволяет обойти защитную функцию Windows BitLocker и получить доступ к зашифрованным данным. Для эксплуатации требуется физический доступ к компьютеру, а через интернет воспользоваться проблемой нельзя. Риск повышен для ноутбуков, рабочих станций и устройств, которые могут быть потеряны или украдены. Украденное устройство может содержать документы, переписку, токены и сохранённые подключения к внутренним сервисам.
Приоритизация патчей по одному показателю CVSS уже не работает. Qualys предлагает опираться на дополнительные метрики:
- CISA KEV — каталог уязвимостей с подтверждённой эксплуатацией;
- EPSS — вероятность применения проблемы в атаке в ближайшее время;
- фактическая доступность уязвимой системы из интернета;
- ценность данных, обрабатываемых на затронутом узле;
- наличие компенсирующих мер вроде сегментации или отключённой функции.
Маюреш Дани, руководитель исследований безопасности Qualys, сообщил, что подобная тенденция ожидалась заранее и дальнейшее развитие ИИ-моделей продолжит разгонять число обнаруженных проблем. Маюреш Дани отметил, что автоматизированный фаззинг, поиск вариантов уязвимостей при помощи языковых моделей и масштабный статический анализ находят дефекты быстрее, чем компании успевают их закрывать.
Стоит обратить внимание, что Microsoft оказалась не единственной. Google в июле закрыла свыше 460 проблем в Edge и Chromium, а Adobe перешла на выпуск обновлений дважды в месяц — прежнего расписания уже не хватает для потока обнаруживаемых дефектов.
Для российских организаций рекорд Microsoft создаёт отдельный узел напряжения. SharePoint и ADFS остаются в продуктиве у крупных банков, промышленных предприятий и государственных ведомств, где миграция на отечественные решения растянута на годы. Отсутствие официальных каналов поддержки означает более длинное окно между публикацией патча и его установкой, а злоумышленники сокращают это окно до часов. Локальные версии SharePoint при этом продолжают работать за периметром многих компаний без строгих ограничений доступа, что делает их удобной точкой входа для атакующего.
Qualys советует не полагаться только на обновления. Пока патч тестируется, систему допустимо защитить сетевыми настройками — ADFS не должен быть напрямую открыт в интернет, локальный SharePoint лучше держать за защищённым шлюзом, а средства дистанционного управления доступны через VPN или доверенный контур. Развёртывание рекордного пакета Qualys предлагает вести кольцами: сначала тестовая группа, затем отдельное подразделение, затем массовая установка, с возможностью быстрого отката при сбоях.
Патч-менеджмент превращается в производственную линию. Ручной подход при объёме в сотни исправлений в месяц перестаёт работать, организациям требуется автоматическое обнаружение активов, централизованное развёртывание и проверка результата установки. Промышленное оборудование, медицинские системы и старые приложения нередко зависят от конкретных версий Windows — для них применяются сетевые ограничения, виртуальные патчи и усиленный мониторинг.
Главный риск не в самом числе уязвимостей, а во времени между выпуском исправления и его установкой. ИИ ускорил обнаружение слабых мест, но не ускорил корпоративные согласования. Microsoft способна опубликовать сотни патчей за один день, а организациям всё ещё нужно протестировать их, распределить по приоритету и развернуть без остановки бизнеса. Именно этот разрыв злоумышленники превращают в рабочее окно для атак.
Экспертная редакция CISOCLUB считает июльский Patch Tuesday водоразделом, после которого ежемесячное обновление Windows окончательно перестаёт быть рутинной процедурой. Рекорд в 570 CVE — прямое следствие подключения ИИ к анализу кода, и производители будут повторять подобные выпуски всё чаще.
Для российского корпоративного сектора риск усилен ограниченной поддержкой Microsoft и растянутыми сроками миграции на отечественные продукты, что удлиняет окно эксплуатации. Редакция рекомендует отказаться от единого срока установки патчей для всех систем и внедрить многоуровневую модель с приоритетом для CISA KEV и высоких EPSS. Отдельного внимания заслуживают ADFS и локальные SharePoint, которые остаются самыми удобными целями при слабой сегментации. Патч-менеджмент в 2026 году окончательно превращается в непрерывный конвейер, где скорость реакции важнее формального процента закрытых уязвимостей.



