Besonders dringlich ist laut Microsoft CVE-2026-56164 in SharePoint Server. Die Schwachstelle wird nach Angaben des Unternehmens bereits in Angriffen ausgenutzt und erlaubt einem nicht authentifizierten Angreifer eine Rechteausweitung über das Netzwerk. Weder Zugangsdaten noch Benutzerinteraktion sind dafür erforderlich. Microsoft nennt als Entdecker Mandiants Incident-Responder und Googles FLARE-Team, was auf eine Identifikation im Zuge laufender Angriffe hindeutet. Details zur konkreten Ausnutzung oder zu den Angreifern hat Microsoft nicht veröffentlicht.
Zusätzlich zum Patch verweist Microsoft in seinem Sicherheitshinweis darauf, dass das Aktivieren von AMSI im Vollmodus auf dem Server den Angriff abschwächt. SharePoint steht seit der ToolShell-Kette, die 2025 ungepatchte Server traf, weiter im Fokus von Angreifern. Parallel endet nun der erweiterte Support für SharePoint Server 2016 und 2019; anders als bei Windows Server oder SQL Server gibt es keine kostenpflichtige ESU-Option als Ausweichmöglichkeit.
Der zweite aktiv ausgenutzte Zero-Day ist CVE-2026-56155 in Active Directory Federation Services. Die Schwachstelle erlaubt einem bereits authentifizierten Angreifer lokal eine Rechteausweitung durch schwache Zugriffskontrollen. Microsoft weist darauf hin, dass AD FS die Tokens für die übrige vertrauende Infrastruktur signiert. Deshalb wiegt eine als „lokal“ eingestufte Lücke auf diesem System schwerer, als die Bezeichnung vermuten lässt. Auch hier fehlen Angaben dazu, welche Rechte sich erlangen lassen und wie die Angriffe abliefen.
Bemerkenswert ist laut Quelltext zudem, dass beide CVEs zum Zeitpunkt der Veröffentlichung nicht im Katalog „Known Exploited Vulnerabilities“ der CISA standen. Microsoft markiert jedoch beide Schwachstellen in seiner eigenen Einstufung bereits als ausgenutzt. Der Schweregrad hilft dabei nur begrenzt weiter: Microsoft bewertet die SharePoint-Lücke vergleichsweise niedrig, obwohl sie schon in Angriffen verwendet wird.
Ein dritter Zero-Day, CVE-2026-50661, wurde öffentlich bekannt, wird aber laut Microsoft nicht aktiv angegriffen. Es handelt sich um einen weiteren BitLocker-Bypass, für den physischer Zugriff auf das Gerät nötig ist. Der Fall reiht sich in mehrere BitLocker-Umgehungen ein, darunter bitskrieg und YellowKey in diesem Jahr.
SharePoint erhielt noch einen zweiten auffälligen Fix: Rapid7 Labs veröffentlichte CVE-2026-55040, einen Umgehungsfehler bei der JWT-Authentifizierung, den das Team für seinen Beitrag zu Pwn2Own Berlin entwickelt hatte. Bei der Bewertung gehen die Angaben auseinander: Rapid7 nennt 5,3 Punkte und mittlere Schwere nach Microsoft, während ZDI die Veröffentlichung als kritisch mit 9,1 liest. Unstrittig ist laut Rapid7 die Wirkung: Das Team kombinierte die Lücke mit einer separaten Schwachstelle für Remotecodeausführung, um auf einem verwundbaren Server eine nicht authentifizierte Remotecodeausführung zu erreichen. Der Remotecodeausführungs-Teil ist noch nicht gepatcht; Microsoft will ihn im August beheben.
Darüber hinaus schließt das Juli-Update Microsofts mehrjährige Härtung von Kerberos gegen RC4 ab. Mit dem Rollout entfällt der Rückfallschalter RC4DefaultDisablementPhase, den Administratoren seit Januar nutzen konnten. Künftig funktioniert RC4 nur noch für Konten, die ausdrücklich dafür konfiguriert sind. Microsoft empfiehlt deshalb, zunächst mit den im Januar eingeführten RC4-Audit-Ereignissen zu prüfen, welche Dienstkonten noch RC4-Kerberos-Tickets anfordern, anschließend deren Passwörter zu rotieren, damit Windows AES-Schlüssel erzeugt, und erst dann zu patchen.
Von den 622 CVEs entfallen 416 auf Windows allein. ZDI zählt in der Veröffentlichung 95 Schwachstellen zur Remotecodeausführung. Microsoft hatte Kunden bereits fünf Tage zuvor in einem Beitrag vom 9. Juli auf ein „höheres Volumen an Sicherheitsupdates in jeder Sicherheitsveröffentlichung“ vorbereitet und dies damit begründet, dass KI mehr Probleme aufdeckt. Dazu gehört laut Microsoft auch MDASH, ein agentisches Scansystem mit mehreren Modellen, das beim Patch Tuesday im Mai 16 Schwachstellen selbst gefunden hatte. Wie viele der 622 Juli-CVEs aus dieser Pipeline stammen, sagte Microsoft nicht.
