O Patch Tuesday julho 2026 deve ser tratado por risco comprovado, não apenas pela quantidade de correções. A CVE-2026-56164 permite elevação de privilégios no SharePoint pela rede. Por isso, a primeira decisão é localizar servidores SharePoint afetados, confirmar a atualização aplicável e reduzir a exposição até concluir a correção. A CVE-2026-56155 permite que um atacante autorizado eleve privilégios localmente no AD FS. Esse vetor desloca a atenção para contas com acesso ao servidor de federação, alterações administrativas e execução do patch dentro do prazo registrado. A ordem operacional começa pelas duas entradas exploradas do catálogo KEV e segue para falhas críticas de serviços de rede e para o risco físico do BitLocker.
Comece pelo KEV
A CISA descreve o Known Exploited Vulnerabilities Catalog como fonte autoritativa de vulnerabilidades exploradas no mundo real. Essa definição torna o catálogo um sinal objetivo para separar atividade observada de hipóteses baseadas apenas em severidade. A CISA recomenda usar o catálogo KEV como input no framework de priorização de vulnerabilidades. Na prática, a equipe pode cruzar as entradas com o inventário, identificar responsáveis por cada ativo e registrar uma janela de correção que preserve evidência de conclusão.
Para a CVE-2026-56164, a data de inclusão é 14 de julho e o prazo é 17 de julho de 2026. O intervalo curto justifica uma fila própria para SharePoint, com validação de versão antes da mudança e nova verificação depois dela. Para a CVE-2026-56155, a inclusão ocorreu em 14 de julho e o prazo é 28 de julho de 2026. O prazo posterior não reduz a prioridade: ele permite organizar a intervenção no AD FS sem misturar a comprovação técnica de uma plataforma com a da outra.
Compare os vetores
Na avaliação da NVD, a CVE-2026-56164 tem pontuação-base 9.8 e severidade crítica. A CNA Microsoft atribui à mesma falha score CVSS 5.3 e classificação moderate. Preserve a origem de cada pontuação e relacione-a ao facto de que a falha está no KEV. A Tenable confirma a nota da Microsoft e a exploração, por isso o número isolado não encerra a análise.
A CNA Microsoft atribui à CVE-2026-56155 pontuação-base 7.8 e severidade alta. O texto primário delimita o vetor como local e exige um atacante autorizado, condição diferente da falha de SharePoint pela rede. Essa diferença orienta controles temporários: reduzir alcance de rede no SharePoint e revisar privilégios no servidor AD FS enquanto a mudança é preparada.
Proteja serviços expostos
A CVE-2026-50518 é um estouro de buffer baseado em heap no Windows DHCP Server que permite execução de código pela rede. A descrição coloca um serviço central de infraestrutura no caminho de ataque, então a equipe deve identificar servidores DHCP do Windows, suas redes alcançáveis e a versão efetivamente instalada. A CNA Microsoft atribui a essa falha pontuação-base 9.8 e severidade crítica. O resultado do patch deve incluir um teste funcional do serviço e a confirmação de que a versão esperada ficou ativa.
A CVE-2026-55944 é uma falha de desserialização no Microsoft Dynamics NAV e permite execução de código pela rede. A ação começa pelo inventário de instalações locais, porque o produto pode aparecer em servidores mantidos por equipes diferentes. A CNA Microsoft também registra pontuação-base 9.8 e severidade crítica para a CVE-2026-55944. A prioridade continua vinculada à presença real do produto e à validação da atualização.
DHCP e Dynamics NAV exigem testes distintos. Para contexto sobre priorização de falhas Microsoft, consulte esta análise anterior sobre zero-days da Microsoft.
Isole o risco físico
A CVE-2026-50661 permite contornar uma proteção do BitLocker por meio de ataque físico. O requisito de presença física muda o controle temporário: equipamentos expostos, em trânsito ou fora da custódia normal merecem atenção antes de dispositivos guardados em ambiente controlado. Esses elementos ajudam a ordenar a implantação conforme a probabilidade de acesso ao dispositivo, sem substituir a atualização.
A CNA Microsoft atribui a essa falha pontuação-base 6.1 e severidade média. Separe instalação do patch e proteção operacional. Confirme versão, custódia e resposta a perda. Como leitura complementar, veja esta análise sobre o bypass do BitLocker no Windows.
Execute a fila
Uma fila curta e verificável reduz o risco de confundir atividade com resultado. Para a CVE-2026-56164, a ação registrada pela CISA é aplicar as mitigações conforme as instruções do fornecedor. Associe essa ação ao prazo do SharePoint, guarde a versão e execute um teste controlado. A CVE-2026-56155 recebe a mesma ação de mitigação conforme as instruções do fornecedor. No AD FS, mantenha um recibo independente com o estado do serviço depois da mudança.
- Localizar: cruzar identificadores com o inventário.
- Priorizar: separar as entradas KEV e seus prazos.
- Preparar: confirmar versão, teste e reversão.
- Corrigir: seguir a orientação aplicável ao produto.
- Verificar: testar o serviço e registrar versão.
Segundo a CISA, os stakeholders devem avaliar a internet exposure de cada ativo e seguir as patching guidelines da BOD 26-04. O fechamento deve responder quais ativos eram aplicáveis, quais receberam a correção correta e quais testes demonstram operação normal. Se uma resposta faltar, a linha permanece pendente. Assim, o resultado continua ligado ao risco descrito, à ação executada e à evidência recolhida.
Fontes
- CISA — catálogo KEV e prazos de remediação
- NVD — CVE-2026-56164 no Microsoft Office SharePoint
- NVD — CVE-2026-56155 no Active Directory Federation Services
- NVD — CVE-2026-50518 no Windows DHCP Server
- NVD — CVE-2026-55944 no Microsoft Dynamics NAV
- NVD — CVE-2026-50661 no Windows BitLocker
- Tenable Research — Patch Tuesday de julho de 2026
- SecurityOnline — vetor de rede da CVE-2026-56164
- Rapid7 — vetor local da CVE-2026-56155
- ByteVanguard — confirmação independente da CVE-2026-56155