Microsoft heeft de beveiligingsupdates van Patch Tuesday voor juli 2026 uitgebracht en lost daarmee een recordaantal van 570 kwetsbaarheden op. Daaronder vallen twee zero-days die al bij aanvallen werden misbruikt en één openbaar gemelde zero-day.
De update verhelpt 59 kwetsbaarheden met de classificatie Kritiek. Het gaat onder meer om 48 problemen met code-uitvoering op afstand, negen kwetsbaarheden voor privilege-escalatie, één beveiligingsomleiding en één spoofingkwetsbaarheid. Gebruikers wordt aangeraden de update zo snel mogelijk via Windows Update te installeren.
Microsoft koppelt de toename in het aantal verholpen kwetsbaarheden aan een AI-gestuurd systeem voor kwetsbaarheidsdetectie, dat meer beveiligingslekken in de Windows-codebase heeft opgespoord.
Verdeling van de kwetsbaarheden en drie verholpen zero-days
De 570 kwetsbaarheden zijn als volgt verdeeld:
- 254 zijn kwetsbaarheden voor privilege-escalatie
- 145 zijn problemen met code-uitvoering op afstand
- 102 hebben betrekking op informatielekken
- 35 zijn gerelateerd aan denial-of-service
- 17 zijn kwetsbaarheden voor het omzeilen van beveiligingsfuncties
- 16 hebben betrekking op spoofing
Deze telling bevat geen afzonderlijke fixes voor Mariner, Azure OpenAI, Azure Synapse, M365 Copilot, Microsoft Exchange Online, Microsoft Edge voor Android en Microsoft Entra Provisioning Service, die eerder deze maand al zijn verholpen.
Ook 468 kwetsbaarheden in Microsoft Edge en Chromium zijn niet meegeteld. Die werden door Google opgelost en later overgenomen in Edge.
CVE-2026-56155: privilege-escalatie in Active Directory Federation Services
Een kwetsbaarheid in Active Directory Federation Services wordt actief misbruikt en stelt aanvallers in staat om beheerdersrechten te verkrijgen. Microsoft meldt dat het probleem te maken heeft met onvoldoende fijnmazige toegangscontrole in Active Directory Federation Services (AD FS), waardoor een geautoriseerde aanvaller lokaal zijn rechten kan verhogen.
De kwetsbaarheid werd ontdekt door Jeremy Kingston en Scott Clark van Microsofts Detection and Response Team (DART), de incidentresponsafdeling van het bedrijf. Dat DART aan de ontdekking gekoppeld is, wijst erop dat de kwetsbaarheid tijdens actief onderzoek naar aanvallen is aangetroffen. Microsoft heeft geen specifieke details vrijgegeven over de manier waarop het lek is misbruikt.
CVE-2026-56164: privilege-escalatie in Microsoft SharePoint Server
Een kwetsbaarheid in Microsoft SharePoint Server wordt eveneens actief misbruikt en kan aanvallers in staat stellen om op afstand toegang tot systemen te krijgen en verhoogde rechten te verkrijgen. Volgens Microsoft ontbreekt authenticatie voor een kritieke functie in SharePoint, waardoor een onbevoegde aanvaller via het netwerk zijn rechten kan verhogen.
Om het risico te beperken adviseert Microsoft om op de server de Antimalware Scan Interface (AMSI) in te schakelen en de modus Request Body Scan in te stellen op Full.
De kwetsbaarheid werd toegeschreven aan Jayson Frost van Mandiant Incident Response, Genwei Jiang van Google Cloud, FLARE OTF en een anonieme onderzoeker. Microsoft heeft niet bekendgemaakt hoe het lek precies werd misbruikt.
CVE-2026-50661: beveiligingsomleiding in Windows BitLocker
Een publiek bekende kwetsbaarheid in BitLocker kan aanvallers met fysieke toegang in staat stellen de versleuteling te omzeilen en toegang te krijgen tot versleutelde gegevens. Microsoft meldt dat een succesvolle aanvaller de functie BitLocker Device Encryption op het systeemopslagapparaat kan omzeilen. Een aanvaller met fysieke toegang kan dit lek misbruiken om toegang te krijgen tot versleutelde data.
De kwetsbaarheid werd toegeschreven aan een anonieme onderzoeker.
Kritieke kwetsbaarheden in Windows, Office, SharePoint en meer
Opvallende kritieke kwetsbaarheden zijn onder meer:
- CVE-2026-49164: code-uitvoering op afstand in Active Directory Domain Services
- CVE-2026-54121: privilege-escalatie in Active Directory Certificate Services
- CVE-2026-48561: code-uitvoering op afstand in Microsoft Copilot
- CVE-2026-55012 en CVE-2026-55011: code-uitvoering op afstand in Microsoft Defender
- CVE-2026-55129: code-uitvoering op afstand in Microsoft Office
- Meerdere kritieke kwetsbaarheden voor code-uitvoering op afstand in Microsoft SharePoint, Office, Word, PowerPoint en Excel
- Meerdere kritieke kwetsbaarheden voor code-uitvoering op afstand in Windows Media Foundation
- CVE-2026-54118 en CVE-2026-54117: code-uitvoering op afstand in Microsoft SQL Server
- CVE-2026-58608: code-uitvoering op afstand in de Windows Print Spooler
- CVE-2026-49796 en CVE-2026-50380: code-uitvoering op afstand in Windows GDI+
- CVE-2026-54999: code-uitvoering op afstand in Windows TCP/IP
- CVE-2026-50444: privilege-escalatie in Windows Server Update Service (WSUS)
- CVE-2026-58542 en CVE-2026-50327: code-uitvoering op afstand in Windows Media
- CVE-2026-50694: code-uitvoering op afstand in Windows Secure Socket Tunneling Protocol
- CVE-2026-50392 en CVE-2026-42982: privilege-escalatie in Windows Secure Kernel Mode
- CVE-2026-57092: privilege-escalatie in Windows VMSwitch
De verholpen kwetsbaarheden hebben betrekking op Windows-client en -server, Office-toepassingen, SharePoint, Exchange, SQL Server, .NET Framework, Visual Studio, Copilot en andere onderdelen.
Wat gebruikers moeten doen
Microsoft meldde vorige week al dat de Patch Tuesday-updates deze maand groter zouden uitvallen, dankzij een nieuw AI-gestuurd systeem voor kwetsbaarheidsdetectie dat beveiligingslekken in de Windows-codebase opspoort voordat aanvallers ze kunnen misbruiken. De juli-update laat zien dat deze aanpak effect heeft.
Ook in de rest van de sector is die trend zichtbaar. Zo vond Anthropic’s Mythos-model tijdens tests kwetsbaarheden in geclassificeerde Amerikaanse overheidssystemen, en ontdekte de VEGA AI-agent van Nebula Security onlangs een oude kwetsbaarheid in de Linux-kernel van GhostLock, die al 15 jaar bestond. AI-ondersteunde kwetsbaarheidsdetectie levert inmiddels steeds meer bevindingen op in grote softwareplatformen.
Voor gebruikers van Windows 11 en Windows 10:
- Open Instellingen en ga naar Windows Update.
- Klik op Controleren op updates.
- Installeer de beschikbare juli-updates van Patch Tuesday.
- Start uw apparaat opnieuw op wanneer daarom wordt gevraagd.
Op Windows 11 wordt de update geleverd via de cumulatieve updates KB5101650 en KB5099414. Gebruikers van Windows 10 met Extended Security Updates ontvangen de update via KB5099539.
Voor beheerders van SharePoint Server:
- Installeer de nieuwste SharePoint-updates zo snel mogelijk, zeker vanwege de actieve misbruikcampagne rond CVE-2026-56164.
- Schakel Antimalware Scan Interface in op SharePoint-servers.
- Zet Request Body Scan op Full om de beveiliging te verbeteren.
- Controleer SharePoint-toeganglogs op aanwijzingen van eerder misbruik.
Voor beheerders van Active Directory Federation Services:
- Installeer de updates voor CVE-2026-56155, die actief wordt misbruikt.
- Controleer beheerderslogs op ongebruikelijke privilege-escalatie.
- Verifieer de configuratie van de AD FS federation trust-instellingen.
Voor BitLocker-gebruikers:
- Installeer de nieuwste update om de openbaar gemelde omleiding via CVE-2026-50661 te verhelpen.
- Zorg ervoor dat herstelsleutels veilig zijn opgeslagen, bijvoorbeeld in een Microsoft-account of in Active Directory.
- Overweeg extra fysieke beveiligingsmaatregelen voor apparaten met versleutelde gevoelige gegevens.
Niet-beveiligingsupdates en beschikbaarheid
In dezelfde cumulatieve Patch Tuesday-updates zitten ook extra niet-beveiligingsupdates voor Windows 11 en Windows 10. Gebruikers die daarin geïnteresseerd zijn, kunnen de release notes van Microsoft raadplegen die horen bij de relevante KB-artikelen voor hun Windows-versie.
De Patch Tuesday-updates van juli 2026 zijn nu beschikbaar via Windows Update, Microsoft Update Catalog en WSUS. Beheerders in ondernemingen die SCCM, Intune of andere beheerhulpmiddelen gebruiken, moeten hun updaterepositories synchroniseren om ervoor te zorgen dat de fixes worden verspreid.
Gebruikers van Windows 10 die niet deelnemen aan het programma Extended Security Updates ontvangen deze updates niet. Inschrijving voor Windows 10 ESU is mogelijk via vier door Microsoft gedocumenteerde methoden, met ondersteuning verlengd tot 12 oktober 2027, zoals in juni werd aangekondigd.
Het is raadzaam deze updates zo snel mogelijk te installeren. Omdat in deze release twee actief misbruikte zero-daykwetsbaarheden worden aangepakt, kan uitstel van het patchen het risico op misbruik vergroten, aangezien aanvallers sommige kwetsbaarheden al benutten.





