
微軟 7 月修補 622 個漏洞:Windows 用戶同 SharePoint 管理員要先做咩
兩個漏洞已有人用嚟攻擊,最趕急係自設 SharePoint Server 同 ADFS
微軟今個月安全更新條清單大到有啲嚇人:官方一口氣列出 622 個 Microsoft CVE,連同重發嘅 Chromium 項目就過千。iThome 報道 同時提到今次破紀錄嘅修補量,同兩個已有人利用嘅漏洞。不過講到實際修補,漏洞總數只係背景。管理自設 SharePoint Server 或 ADFS 嘅 IT 要即刻插隊處理;一般 Windows 用戶按正常節奏裝累積更新,唔代表 622 個漏洞全部落喺同一部電腦,更唔代表每部 PC 都有人攻緊。
622 個,點解仲會見到 576 同 570?
截至 7 月 15 日,最穩陣係跟 微軟 7 月官方 Release Notes:月度範圍有 622 個由 Microsoft 登記嘅 CVE,當中 Windows 類別佔 416 個;官方另外重發 428 個非 Microsoft 嘅 Chromium CVE,加埋先會得出 1,050。576 呢個數,對照官方分類應該係扣起 Edge 類別 46 個之後嘅口徑,呢點屬數字推算;至於 BleepingComputer 嘅 570,佢明講只計 7 月 14 日當日新出嘅修補,月內較早已處理嘅 Azure、Edge 等項目冇計。三個數都有各自定義,標題用 622 最貼近微軟本月官方口徑。
過千個 CVE 唔等於每部 Windows 機中晒
呢份清單橫跨 Windows、Office、Edge、Azure、Defender、Exchange Server、SharePoint Server、SQL Server 同開發工具,仲有 CVE 喺多個產品版本重疊。Windows Update 最終畀某部機嘅係對應版本累積更新,唔使逐個下載 622 份修補。數量暴升亦唔可以直接解讀成 Windows 突然危險三倍;微軟早前解釋,自動化工具成熟、研究員參與增加,同埋工程團隊開始用 AI 搵問題,都令漏洞通報同修補量長線向上。今次要處理嘅更新確實好多,但點排先後,仍然要睇漏洞有冇人利用、服務有冇對外,同埋攻擊門檻。
最趕急係自設 SharePoint Server
CVE-2026-56164 已有人用嚟攻擊。微軟評佢做 Moderate、CVSS 5.3,但攻擊者唔使登入,經網上就可以提升權限;CISA 嘅 KEV 已遭利用漏洞名單 已經收錄呢個漏洞,畀美國聯邦機構嘅期限係 7 月 17 日。呢個三日限期只約束美國聯邦機構,活躍攻擊就冇地域限制。受影響名單係 SharePoint Enterprise Server 2016、SharePoint Server 2019 同 Subscription Edition;純用 Microsoft 365 入面 SharePoint Online 嘅公司,唔屬今次 CVE 公告列明嘅 server 範圍。
SharePoint 要補漏洞,亦要當可能入過侵
CISA 7 月 14 日警告 話攻擊者正串連 CVE-2026-32201、CVE-2026-45659 同新出嘅 CVE-2026-56164,入侵自設 SharePoint,跟住執行程式、偷 IIS machine key,再靠反序列化手法維持存取。管理員要先清點所有對外 SharePoint farm,按版本裝 KB5002891(2016)、KB5002883(2019)或 KB5002882(Subscription Edition),再確認每部 server 更新成功。AMSI 要啟用,Request Body Scan 設做 Full,不過呢個只係臨時減低風險,頂唔到正式修補;如果懷疑已中招,先查 web shell、異常 worker process 同 machine-key 存取痕跡,清走入侵工具後先 rotate key,否則新 key 一樣可能再俾人拎走。
ADFS 裝完更新仲要睇 Event Log
另一個已有人利用嘅 CVE-2026-56155 影響 AD FS,微軟評做 Important、CVSS 7.8。攻擊者要先有本機低權限帳戶,門檻高過 SharePoint 嗰個未登入遠端攻擊;不過 AD FS 管住登入信任,DKM container 權限太鬆會畀人讀到保護 token 簽署私鑰嘅材料,後果可以好大。重點係 7 月 Windows Server 更新淨係開啟 Audit Mode,唔會自動改 ACL。跟 微軟 KB5121391 指引 裝齊所有 AD FS server 後,要睇 AD FS/Admin log:1132 代表 ACL 要處理,1133 代表狀態健康,1134 就係檢查出錯;見到 1132,再按官方步驟測試同啟用 RemediateDkmAcl,唔好以為重新開機就收工。
一般 Windows 用戶照更新,唔使自己嚇自己
如果你只係用 Windows 10/11 PC,今次兩個已遭利用漏洞都唔代表有人可以隔住網上一撳就入你部機:SharePoint 嗰個針對自設 server,AD FS 嗰個又要相關角色同已有本機權限。你要做嘅係入 Windows Update 裝 7 月累積安全更新、重新開機,再返去更新記錄確認成功;Office 同 Edge 亦保持最新。今個月仲有一個公開咗資料嘅 BitLocker 漏洞 CVE-2026-50661,微軟話攻擊者要實體接觸部機先用到,所以手提電腦用戶除咗更新,亦要保持磁碟加密開住、離開座位鎖機,唔好講到似全網大爆發。
公司 IT 今輪點排次序
修補隊列可以直接分三層:對外 SharePoint Server 即日處理,修補、AMSI、log hunting 同 key rotation 一輪做齊;AD FS 緊接處理,Windows Server 更新之後一定睇事件 1132 至 1134,CISA 畀聯邦機構嘅期限係 7 月 28 日;其餘 Windows、Office 同 Edge 裝置按既有測試批次快手推送。學校、公司同機構就算有 Microsoft 365,都要另外查清楚有冇舊 SharePoint farm 或 ADFS 留喺機房,因為資產清單漏咗呢類混合環境,更新平台見唔到就自然推唔到。今輪跟官方 CVE 頁同 KEV 狀態排隊已經夠清楚,唔使俾「過千漏洞」個總數帶住走。
參考來源
- iThome — 【資安日報】7月15日,微軟公布自家產品逾600個資安漏洞,再創單月揭露漏洞數量新紀錄 — original report
- Microsoft:July 2026 Security Updates — 官方月度範圍,列明 622 個 Microsoft CVE、產品分類同 428 個 Chromium CVE。
- Microsoft:CVE-2026-56164 SharePoint Server Advisory — 核對受影響 SharePoint 版本、CVSS、已遭利用狀態、修補 KB 同 AMSI 緩解方法。
- Microsoft:CVE-2026-56155 AD FS DKM ACL Hardening — 官方講解 Audit Mode、Event ID、ACL 修正步驟同 2026 年 10 月強制階段。
- CISA:SharePoint Hardening After New Exploitations — 核對三個 SharePoint 漏洞組合、IIS machine key 風險、偵測同加固建議。
- CISA:Known Exploited Vulnerabilities Catalog — 確認 CVE-2026-56155 同 CVE-2026-56164 已有人利用,亦核對 7 月 28 日同 7 月 17 日期限。
- Microsoft:A note on Patch Tuesday — 補充漏洞量上升同自動化、研究員參與及 AI 輔助發現問題嘅背景。
- BleepingComputer:July 2026 Patch Tuesday 570 Flaws — 解釋 570 呢個統計只計當日新出修補,冇計月內較早已處理嘅項目。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







