← Terug naar blog
Security

Patch Tuesday juli 2026: record 570 kwetsbaarheden, twee zero-days actief misbruikt in AD FS en SharePoint

Door Zarioh Digital Solutions6 min leestijd
Delen
Patch Tuesday juli 2026: record 570 kwetsbaarheden, twee zero-days actief misbruikt in AD FS en SharePoint

Microsoft heeft op 15 juli 2026 de grootste Patch Tuesday ooit uitgebracht: meer dan 570 kwetsbaarheden, waarvan twee zero-days actief misbruikt worden in het wild. AD FS en SharePoint Server staan centraal. Wat is er aan de hand, welke systemen zijn urgent en hoe pakt u de update-uitrol aan?

Op 15 juli 2026 heeft Microsoft de omvangrijkste Patch Tuesday ooit uitgebracht. Met meer dan 570 kwetsbaarheden verslaat deze update alle eerdere records. Onder de verholpen lekken zitten drie zero-days, waarvan er twee al actief worden misbruikt door aanvallers. De Amerikaanse overheidsinstantie CISA heeft federale organisaties een korte deadline opgelegd, maar de urgentie geldt voor elke IT-afdeling die Active Directory Federation Services of SharePoint Server on-premises beheert.

In dit artikel krijgt u een helder beeld van welke kwetsbaarheden centraal staan, wat de risico's zijn en hoe u de patches zo snel en gecontroleerd mogelijk kunt uitrollen.

Een record voor de boeken: 570 kwetsbaarheden in één update

De maandelijkse Microsoft-beveiligingsupdate van juli 2026 adresseert afhankelijk van de telbasis tussen de 570 en 622 afzonderlijke kwetsbaarheden. Dat is het grootste aantal dat Microsoft ooit in één ronde heeft vrijgegeven. Ter vergelijking: een gemiddelde Patch Tuesday telt tussen de 60 en 120 items. De sprong naar dit volume weerspiegelt deels een veranderde telmethode waarbij afhankelijke pakketten vaker apart worden vermeld, maar ook het toegenomen aanvalsoppervlak van het Microsoft-ecosysteem.

Van de in totaal verholpen kwetsbaarheden zijn er 59 geclassificeerd als Kritiek. Daarbinnen zijn 48 van het type Remote Code Execution, wat betekent dat een aanvaller op afstand code kan uitvoeren zonder fysieke toegang tot het systeem. Negen zijn Elevation of Privilege en twee betreffen respectievelijk een security bypass en een spoofinglek.

Twee zero-days actief misbruikt: SharePoint en AD FS

De twee meest urgente kwetsbaarheden zijn CVE-2026-56164 in Microsoft SharePoint Server en CVE-2026-56155 in Active Directory Federation Services. Beide zijn zero-days die op het moment van publicatie al actief werden uitgebuit door aanvallers. CISA heeft ze toegevoegd aan de officiele lijst van Known Exploited Vulnerabilities en federale instanties een strikte patchdeadline opgelegd.

CVE-2026-56164 is een Elevation of Privilege-kwetsbaarheid in SharePoint Server. Het bijzondere aan dit lek is de combinatie van factoren die het extreem riskant maakt: een aanvaller heeft geen bestaande authenticatie nodig, de aanval vindt volledig via het netwerk plaats en de aanvalscomplexiteit is laag. In de praktijk betekent dit dat iedereen die uw SharePoint-omgeving via internet kan bereiken, de kwetsbaarheid kan proberen te misbruiken zonder dat hij of zij een account nodig heeft. De CVSS-score van 5.3 onderschat de reele dreiging; de actieve uitbuiting en het gebrek aan authenticatievereiste maken dit tot een topprioriteit.

CVE-2026-56155 treft Active Directory Federation Services en stelt een aanvaller in staat om lokaal zijn privileges te verhogen naar beheerdersniveau. De CVSS-score is 7.8 en de kwetsbaarheid werd ontdekt door het Microsoft Detection and Response Team, wat betekent dat Microsoft haar al in actieve aanvallen heeft waargenomen. AD FS vormt voor veel organisaties de brug tussen on-premises Active Directory en cloudapplicaties zoals Microsoft 365. Een gecompromitteerd AD FS-systeem kan breed toegang geven tot verbonden diensten.

De derde zero-day: BitLocker-bypass via fysieke toegang

De derde zero-day, CVE-2026-50661, betreft een beschermingsmechanisme-bypass in Windows BitLocker. Een aanvaller met fysieke toegang tot het apparaat kan de BitLocker-versleuteling omzeilen en bij de beschermde data komen, zonder dat het juiste herstelsleutelpad doorlopen hoeft te worden. Microsoft bevestigt dat deze kwetsbaarheid nog niet actief wordt misbruikt, maar de dreiging is reeel voor verloren of gestolen zakelijke laptops.

Voor organisaties die BitLocker hebben ingesteld als primaire versleutelingsoplossing voor mobiele werkplekken is dit een extra reden om de update snel door te voeren. De patch verandert het onderliggende beschermingsmechanisme waardoor de bypass-methode niet meer werkt. Een aanvulling als TPM-pinvereiste blijft een verdedigingslaag in de diepte.

Waarom SharePoint bijzonder urgent is

SharePoint Server on-premises wordt door veel organisaties aan het internet blootgesteld, hetzij direct hetzij via een reverse proxy. De kwetsbaarheid CVE-2026-56164 vraagt geen authenticatie en heeft een lage aanvalscomplexiteit. Dat maakt het een ideaal doelwit voor geautomatiseerde scantools die kwetsbare versies al actief opzoeken en proberen te exploiteren.

De deadline die CISA aan federale agentschappen heeft gegeven voor CVE-2026-56164 is 17 juli 2026, vandaag. Voor niet-federale organisaties geldt deze deadline juridisch niet, maar het signaal is duidelijk: de urgentie is maximaal. SharePoint-omgevingen die naar internet zijn geopend moeten vandaag nog worden beoordeeld. Als patchen vandaag niet haalbaar is, overweeg dan tijdelijk de internettoegang tot SharePoint te blokkeren of te beperken tot vertrouwde IP-bereiken totdat de patch is doorgevoerd.

Organisaties die alleen SharePoint Online gebruiken via Microsoft 365 zijn niet kwetsbaar voor CVE-2026-56164. Deze kwetsbaarheid geldt uitsluitend voor on-premises SharePoint Server.

AD FS: patchdeadline 28 juli en bredere risicos

Voor CVE-2026-56155 in AD FS geldt een CISA-deadline van 28 juli 2026. Dat geeft iets meer ruimte, maar de ernst van een gecompromitteerd AD FS-systeem vraagt om snelle actie. AD FS-servers worden doorgaans beschermd achter een Web Application Proxy en zijn minder direct internet-exposed dan SharePoint, maar de kwetsbaarheid vereist slechts lokale toegang, wat het bereikbaar maakt via een al gecompromitteerd systeem in hetzelfde netwerk.

Organisaties die AD FS hebben gemigreerd naar Entra ID-federatie of die volledig naar Entra ID zijn overgestapt en geen on-premises AD FS meer draaien, hoeven CVE-2026-56155 niet te patchen. Voor organisaties die nog hybride werken met AD FS als federatieserver is patchen de enige structurele oplossing.

Uitrol via Intune, SCCM en handmatig

De beveiligingsupdates voor Windows-componenten worden gedistribueerd via de gebruikelijke kanalen. Voor organisaties die Windows Update for Business gebruiken of Intune's Endpoint Security Update Rings, is de update beschikbaar zodra Microsoft de update heeft vrijgegeven. In Intune synchroniseert u de update-ring en stelt u een deadlinedatum in voor geforceerde installatie.

Voor SCCM-omgevingen voert u een handmatige synchronisatie uit van de Software Updates-catalogus, selecteert u de relevante Patch Tuesday-updates en maakt u een deployment-pakket aan. Zorg dat de Critical-classificatie is gefilterd op uw deployment-criteria, zodat de 59 kritieke updates als eerste worden geselecteerd voor uitrol.

De SharePoint Server-patch is een afzonderlijk installatiepakket dat los van de Windows Update-infrastructuur wordt uitgerold. Beheerders die on-premises SharePoint Server beheren, moeten de patch handmatig downloaden via het Microsoft Update Catalog of via de SharePoint Cumulative Update-pagina, en de update installeren op alle servers in de SharePoint-farm. Na installatie is een IIS-reset en herstart van de SharePoint Timer Service vereist.

Voor AD FS-servers geldt eveneens een Windows Server-update die via SCCM of Intune te distribueren is. AD FS-servers zijn doorgaans uitgezonderd van automatische updates vanwege de kritieke rol die ze spelen; maak voor deze patch een uitzondering en plan de installatie op korte termijn met een gecontroleerd onderhoudsvenster.

Praktisch stappenplan voor deze week

Vijf acties die IT-teams de komende 48 uur zouden moeten nemen. Ten eerste: inventariseer welke on-premises systemen worden geraakt. SharePoint Server on-premises, AD FS-servers en Windows-endpoints zijn de prioriteiten. Ten tweede: patch SharePoint Server vandaag nog als de omgeving internet-exposed is, of beperk de toegang tijdelijk. Ten derde: plan het AD FS-onderhoudsvenster voor uiterlijk 25 juli om ruim voor de deadline te zitten. Ten vierde: controleer via Intune of SCCM dat de Windows-updates voor de 59 kritieke kwetsbaarheden worden uitgerold naar alle endpoints. Ten vijfde: controleer of BitLocker-beleid en TPM-pinvereisten correct zijn ingesteld voor mobiele werkplekken als extra maatregel naast de patch.

De omvang van deze Patch Tuesday is uitzonderlijk, maar de aanpak is dezelfde als altijd: prioriteer op ernst en uitbuitingsstatus, zorg voor een beheersbare uitrol via uw bestaande tooling en documenteer wat u wanneer hebt gedaan. Heeft u ondersteuning nodig bij het opzetten van een gestructureerd patchbeleid, het beheren van SharePoint of AD FS in uw omgeving, of het inrichten van Intune voor geautomatiseerde update-uitrol? Neem contact op met Zarioh voor een vrijblijvend gesprek.

Was dit artikel nuttig?

Z

Zarioh Digital Solutions

IT-specialisten uit Utrecht. Wij helpen bedrijven door heel Nederland met Microsoft 365, AI agents, hosting en telefonie — en delen hier wekelijks wat we in de praktijk tegenkomen. Volg ons op LinkedIn

Nieuwsbrief

Laatste tech nieuws

Ontvang nieuwe artikelen direct in je inbox.

Geen spam. Afmelden kan altijd.

Lees ook

← Terug naar alle artikelen
Delen