微软创纪录的漏洞补丁月意味了什么

admin 2026-07-18 05:05:52 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 微软单月修复570漏洞创纪录,主因AI扫描使潜伏漏洞集中暴露。AI致利用窗口缩至不足20小时,传统月度补丁与CVSS评分失效。企业须即刻修复ADFS等零日漏洞,将策略转为基于EPSS与KEV的动态分级响应,建立自动化验证机制,把补丁运营视为固定成本。 综合评分: 96 文章分类: 漏洞预警,安全运营,AI安全,漏洞分析,威胁情报


cover_image

微软创纪录的漏洞补丁月意味了什么

奇安信 CERT

2026年7月17日 12:20 北京

在小说阅读器读本章

去阅读

2026 年 7 月,微软一次性修复 570 个漏洞,创下历史新高。这不是软件突然变糟,而是 AI 扫描技术让大量潜伏的漏洞集中浮出水面。随之而来的,是攻防两端节奏的全面提速 —— 企业的补丁管理方式,也该跟着变了。

微软 2025-2026 年月度漏洞修复数量对比


01表面数字之下的结构性转变

  1. 不是「软件变烂了」,而是「终于看清了」

570 个漏洞看似骇人,但核心结论恰恰相反——Windows 并没有突然变得更不安全。微软执行副总裁 Pavan Davuluri 在 7 月 9 日的博客中明确表示,漏洞激增源于一套名为 MDASH(Multi-model Agentic Scanning Harness) 的 AI 系统。该系统部署多个 AI 模型(包括 Anthropic 的模型)对 Windows 二进制文件进行自动化扫描,通过「模型辩论」机制定位根因,自动过滤误报后交由人工工程师审核修复。

AI 已经使发现漏洞的成本崩塌,这个增长量是新地板,不是天花板——至少在一段时间内如此。」 —— Trey Ford · Bugcrowd 首席战略官

这意味着这些漏洞一直存在,只是以前人类研究员发现得不够快。我们现在只是终于有了能看清它们的工具。

  1. 年度对比:从量变到质变

| 指标 | 2025 年 1-7 月 | 2026 年 1-7 月 | 变化 | | — | — | — | — | | 累计修复漏洞 | 680 个 | 1,308 个 | +92.4% | | 7 月单月 | 137 个 | 570 个 | +316% | | 6 月单月 | 66 个 | 200 个 | +203% |

Zero Day Initiative 的 Dustin Childs 称之为「万恶之源级发布」(Mother of All Releases),并指出 7 月的数据已经让 2026 年迄今的 CVE 总数超过了过去 20 年中任何一个完整年度。


02AI 双刃剑:攻防两端的军备竞赛

攻击侧:利用窗口从「天」压缩到「小时」

!微软已将其补丁部署建议从 30 天缩短至 3 天(最多 2 天宽限期),原因非常直接:攻击者利用漏洞的速度已超过企业反应能力。

  • Anthropic 红队

    的研究显示,其 Mythos Preview 模型能对 14 个被评为「不太可能被利用」的漏洞中的 13 个生成可用的 PoC 漏洞利用代码

  • Tenable 的 Satnam Narang

    指出,微软的「可利用性指数」是以人类能力为基准设计的,AI 工具正在使其失效——本月 SharePoint 零日漏洞在被 CISA 列入 KEV 目录时,微软的评级还是「不太可能被利用」

  • 中位利用时间

    从 2018 年的 771 天压缩至 2026 年的 不到 20 小时

防御侧:MDASH 的发现效率

MDASH 已在 Windows 网络和认证栈中发现 16 个重大安全问题。微软明确表示:

i随着 AI 帮助防御者发现更多问题,客户将在每次安全发布中看到更高数量的安全更新。这不是承诺,而是预告——8 月、9 月只会更多。


03对企业的五大现实冲击

冲击 1:传统补丁周期已失效

Qualys 安全研究经理 Mayuresh Dani 直言:

AI 自动化模糊测试、LLM 辅助变体狩猎和大规模静态分析发现漏洞的速度已经超过企业修复的速度。」 —— Mayuresh Dani · Qualys 安全研究经理

这意味着:

  1. 1月度补丁周期

    从管理手段变成了安全负债

  2. 2

    必须转向基于 EPSS + CISA KEV 的分级 SLA:KEV 列表或 EPSS > 0.5 的漏洞应在 24-36 小时内修复

  3. 3

    需要自动化补丁验证 + 回滚机制

冲击 2:身份基础设施成为首要目标

两个在野利用的零日均指向身份认证体系:

  • CVE-2026-56155(AD FS)

    :微软自己的 DART 团队在事件响应中发现——意味着攻击者已经在实际入侵中使用它。AD FS 控制企业联邦身份认证,提权后可横跨整个身份基础设施。ZDI 的 Childs 警告:「AD FS 正是攻击者入侵后喜欢用来横向移动的身份基础设施类型,它可以与 RCE 链接,就像我们在勒索软件中常见的那样。」

  • CVE-2026-56164(SharePoint)

    :无需认证的远程提权,CISA 在补丁发布前一天就将其列入 KEV 目录。Mandiant、Google Cloud、FLARE OTF 多个团队独立发现——说明已在多起事件中被触发。

冲击 3:CVSS 评分体系正在失灵

SharePoint 零日的 CVSS 评分仅为 5.3(Moderate),但实际在野利用的复杂度被标记为「低」。Cohesity 的 Amol Sarwate 指出:

!单次发布中高影响 RCE 集中在整个安装基座上,凸显了许多防御者仍依赖的CVSS + 严重性分级模型的局限性。

冲击 4:补丁本身的兼容性风险

570 个补丁触及内核、Win32k、NTFS、远程桌面、DHCP、TCP/IP、Hyper-V、Secure Boot、BitLocker、打印后台程序等几乎所有 Windows 核心组件。BackBox 的安全评论员建议个人用户可以「等几天再安装」,因为如此大规模的补丁引入稳定性问题的概率显著上升。企业需要在快速部署与兼容性验证之间找到新平衡。

冲击 5:全行业补丁节奏加速

微软不是孤例:

| 厂商 | 动态 | | — | — | | Adobe | 改为半月一次安全公告(第 2 和第 4 个周二),同样归因于 AI 压缩了披露到利用的窗口 | | Google | 6 月单月修复 900+ 个安全漏洞 | | Cisco / Mozilla / Oracle | 均在提高补丁频率 |

Ivanti 的 Chris Goettl 指出:「多家主要软件制造商正在同时提高补丁频率。」


04深层含义:安全范式转移

从「静态优先级」到「动态威胁驱动」

传统模式:CVSS 评分 → 按严重性排队 → 月度批量修复

新模式:EPSS 预测评分 + CISA KEV 确认 + 资产暴露面分析 → 动态 SLA → 小时级响应

从「人工发现」到「AI 发现 + 人工确认」

MDASH 代表的新范式:AI 负责大规模发现和初步验证,人工工程师负责审核和修复决策。漏洞发现的瓶颈从人力转移到了修复能力。

从「补丁管理」到「补丁运营」

Trey Ford 的建议值得管理层重视:

领导团队需要停止把补丁量当作每月的意外,我们必须将其作为固定运营成本来投入资金。获胜的组织不是这个月补得最快的,而是建立了能随接下来几个月持续增长而扩展的流程的组织。」 —— Trey Ford · Bugcrowd 首席战略官


05给组织的行动建议

| 优先级 | 行动 | 时间窗口 | | — | — | — | | P0 | 修复 AD FS(CVE-2026-56155)和 SharePoint(CVE-2026-56164)零日 | 48 小时内 | | P0 | 确认 AD FS / SharePoint 是否暴露在公网,若无必要立即隔离 | 即刻 | | P1 | 修复 CVE-2026-48561(Copilot RCE,CVSS 9.6),暂禁 Edge for Android 的 Copilot 集成 | 72 小时内 | | P1 | 修复两个 DHCP 漏洞(CVSS 9.8)和 Dynamics NAV 漏洞(CVSS 9.8) | 72 小时内 | | P2 | 将补丁策略从 CVSS 分级升级为 EPSS + KEV 驱动的分级 SLA | 本季度内 | | P2 | 建立自动化补丁验证 + 回滚管道 | 本季度内 | | P3 | 将补丁运营预算列为固定运营成本而非项目支出 | 下个预算周期 |


总结

7 月的 570 个漏洞不是一次异常波动,而是 AI 重新定义漏洞发现速度后的新常态起点。攻防两端的 AI 军备竞赛已经让「月度补丁」这个概念本身变得过时——未来的安全团队需要的不是更快的月度流程,而是一套能持续扩展的补丁运营体系。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:奇安信 CERT 《微软创纪录的漏洞补丁月意味了什么》

评论:0   参与:  0