Die Zahl der gemeldeten Schwachstellen steigt seit Monaten deutlich an. Laut Microsoft markiert der Juli mit 622 CVEs den größten Patch Tuesday der Unternehmensgeschichte. Rapid7s Adam Barnett sieht darin ein Beispiel für den jüngsten branchenweiten Trend „explodierender“ Schwachstellenzahlen, verbunden mit einem nachgelagerten Anstieg veröffentlichter Gegenmaßnahmen.
Neu ist auch die Darstellung im Security Update Guide. Microsoft führt dort die einzelnen CVEs nicht mehr gesammelt in einer vollständigen Liste auf, sondern zeigt eine Übersicht nach Produktfamilien und ausgewählte „bemerkenswerte CVEs“. Die individuellen Hinweise zu jeder einzelnen Schwachstelle bleiben verfügbar. Microsoft hatte bereits im vergangenen Jahr damit begonnen, Chromium-Korrekturen nicht mehr in dieser Übersicht zu führen, nachdem die Zahl der Browser-Schwachstellen stark gestiegen war.
Barnett weist darauf hin, dass der Tag der Veröffentlichung für Verteidiger den Beginn eines regelmäßigen Zyklus markiert: Nach Erscheinen eines Patches analysieren Angreifer die Änderungen, um die geschlossenen Lücken nachzuvollziehen und Systeme anzugreifen, die noch nicht aktualisiert wurden. Eine weniger detaillierte Hauptübersicht könne diese Einordnung erschweren, weil Verteidiger und externe Beobachter das Gesamtbild nun aus mehreren Hinweiskanälen zusammensetzen müssten.
Microsoft und mehrere Analysten bringen den Anstieg der Zahlen mit KI-gestützten Werkzeugen in Verbindung. Das Unternehmen hatte im Mai offengelegt, mit einem neuen internen KI-System namens MDASH nach Sicherheitslücken in eigener Software zu suchen. Tom Gallagher, Engineering-Vizepräsident im Microsoft Security Response Center, sagte damals, man rechne damit, dass die Veröffentlichungen weiter größer würden. Auch Großbritanniens National Cyber Security Centre hatte im April Organisationen gewarnt, sich auf eine Welle dringender Updates einzustellen.
Eine entsprechende Angriffswelle ist bislang jedoch nicht erkennbar. Jerry Gamblin von Cisco schrieb in einer Analyse in diesem Monat, die Kurve der veröffentlichten Schwachstellen sei zwar „senkrecht nach oben gegangen“, nicht aber die der tatsächlich ausgenutzten Lücken. Von mehr als 35.000 CVEs, die im ersten Halbjahr dieses Jahres von allen Herstellern veröffentlicht wurden, schafften es nach seinen Angaben nur 85 beziehungsweise 0,24 Prozent in den KEV-Katalog der US-Behörde CISA. Gamblin ergänzte allerdings, dass dieser Wert mit bestätigter Ausnutzung noch steigen werde.
Für den aktuellen Monat markiert Microsoft dennoch zwei Lücken als bereits aktiv ausgenutzt. CVE-2026-56164 betrifft SharePoint Server in lokalen Installationen und ist eine Rechteausweitung, die einem nicht authentifizierten Angreifer über das Netzwerk höhere Rechte verschaffen kann. Microsoft bewertet die Lücke als „Wichtig“ und nennt einen CVSS-Wert von 5,3. Die zweite bereits ausgenutzte Schwachstelle ist CVE-2026-56155 in Active Directory Federation Services; auch hier handelt es sich um eine Rechteausweitung, bei der ein authentifizierter Angreifer lokal seine Rechte erhöhen kann. Microsoft schreibt die Entdeckung beider Lücken seiner Incident-Response-Einheit DART zu. Am Mittwochmorgen standen beide noch nicht im KEV-Katalog von CISA.
Besondere Aufmerksamkeit gilt außerdem CVE-2026-55040 in SharePoint. Rapid7-Forscher Stephen Fewer entdeckte die Umgehung einer Sicherheitsfunktion und legte sie in Abstimmung mit Microsoft offen. Nach Angaben von Rapid7 ist sie der erste Teil einer Angriffskette, die auf einem verwundbaren Server zu nicht authentifizierter Remotecodeausführung führt. Die zweite Schwachstelle dieser Kette bleibt noch unter Verschluss; Microsoft soll sie im August beheben. Rapid7 bewertet den Bypass mit 5,3, die Zero Day Initiative von Trend Micro dagegen mit 9,1.
Teil des Juli-Pakets ist zudem CVE-2026-50661, eine öffentlich bekannte Umgehung einer BitLocker-Sicherheitsfunktion, mit der ein physischer Angreifer die Laufwerksverschlüsselung umgehen kann. Rapid7 erklärte, die Beschreibung passe zu einer Schwachstelle, die unter dem Namen GreatXML einen Tag nach dem Patch Tuesday im Juni von Nightmare Eclipse veröffentlicht worden war. Microsoft bestätigt diesen Zusammenhang jedoch nicht.
Nightmare Eclipse veröffentlicht seit April auf GitHub funktionsfähigen Exploit-Code für ungepatchte Windows-Schwachstellen. Für diesen Patch Tuesday hatte der Forscher zunächst eine weitere Veröffentlichung angedroht, diese Ankündigung in den Tagen davor aber teilweise zurückgenommen. Stattdessen tauchte am Dienstag ein neuer Machbarkeitsnachweis mit dem Namen LegacyHive aus derselben Quelle auf, der es offenbar einem nicht privilegierten Nutzer erlaubt, die Registrierungshive eines anderen Nutzers einzubinden.
Bereits zuvor hatte Microsoft eine separate Defender-Schwachstelle zur Rechteausweitung, CVE-2026-50656 alias RoguePlanet, am 8. Juli außer der Reihe behoben. Zuvor hatte Nightmare Eclipse nach der Juni-Veröffentlichung einen Machbarkeitsnachweis veröffentlicht. Inzwischen behauptet der Forscher, der Patch führe einen Vektor zur Erschöpfung des Festplattenspeichers ein.
