O Patch Tuesday julho 2026 deve ser tratado por risco comprovado, não apenas pela quantidade de correções. A CVE-2026-56164 permite elevação de privilégios no SharePoint pela rede. Por isso, a primeira decisão é localizar servidores SharePoint afetados, confirmar a atualização aplicável e reduzir a exposição até concluir a correção. A CVE-2026-56155 permite que um atacante autorizado eleve privilégios localmente no AD FS. Esse vetor desloca a atenção para contas com acesso ao servidor de federação, alterações administrativas e execução do patch dentro do prazo registrado. A ordem operacional começa pelas duas entradas exploradas do catálogo KEV e segue para falhas críticas de serviços de rede e para o risco físico do BitLocker.

Comece pelo KEV

A CISA descreve o Known Exploited Vulnerabilities Catalog como fonte autoritativa de vulnerabilidades exploradas no mundo real. Essa definição torna o catálogo um sinal objetivo para separar atividade observada de hipóteses baseadas apenas em severidade. A CISA recomenda usar o catálogo KEV como input no framework de priorização de vulnerabilidades. Na prática, a equipe pode cruzar as entradas com o inventário, identificar responsáveis por cada ativo e registrar uma janela de correção que preserve evidência de conclusão.

Para a CVE-2026-56164, a data de inclusão é 14 de julho e o prazo é 17 de julho de 2026. O intervalo curto justifica uma fila própria para SharePoint, com validação de versão antes da mudança e nova verificação depois dela. Para a CVE-2026-56155, a inclusão ocorreu em 14 de julho e o prazo é 28 de julho de 2026. O prazo posterior não reduz a prioridade: ele permite organizar a intervenção no AD FS sem misturar a comprovação técnica de uma plataforma com a da outra.

Compare os vetores

Na avaliação da NVD, a CVE-2026-56164 tem pontuação-base 9.8 e severidade crítica. A CNA Microsoft atribui à mesma falha score CVSS 5.3 e classificação moderate. Preserve a origem de cada pontuação e relacione-a ao facto de que a falha está no KEV. A Tenable confirma a nota da Microsoft e a exploração, por isso o número isolado não encerra a análise.

A CNA Microsoft atribui à CVE-2026-56155 pontuação-base 7.8 e severidade alta. O texto primário delimita o vetor como local e exige um atacante autorizado, condição diferente da falha de SharePoint pela rede. Essa diferença orienta controles temporários: reduzir alcance de rede no SharePoint e revisar privilégios no servidor AD FS enquanto a mudança é preparada.

Proteja serviços expostos

A CVE-2026-50518 é um estouro de buffer baseado em heap no Windows DHCP Server que permite execução de código pela rede. A descrição coloca um serviço central de infraestrutura no caminho de ataque, então a equipe deve identificar servidores DHCP do Windows, suas redes alcançáveis e a versão efetivamente instalada. A CNA Microsoft atribui a essa falha pontuação-base 9.8 e severidade crítica. O resultado do patch deve incluir um teste funcional do serviço e a confirmação de que a versão esperada ficou ativa.

A CVE-2026-55944 é uma falha de desserialização no Microsoft Dynamics NAV e permite execução de código pela rede. A ação começa pelo inventário de instalações locais, porque o produto pode aparecer em servidores mantidos por equipes diferentes. A CNA Microsoft também registra pontuação-base 9.8 e severidade crítica para a CVE-2026-55944. A prioridade continua vinculada à presença real do produto e à validação da atualização.

DHCP e Dynamics NAV exigem testes distintos. Para contexto sobre priorização de falhas Microsoft, consulte esta análise anterior sobre zero-days da Microsoft.

Isole o risco físico

A CVE-2026-50661 permite contornar uma proteção do BitLocker por meio de ataque físico. O requisito de presença física muda o controle temporário: equipamentos expostos, em trânsito ou fora da custódia normal merecem atenção antes de dispositivos guardados em ambiente controlado. Esses elementos ajudam a ordenar a implantação conforme a probabilidade de acesso ao dispositivo, sem substituir a atualização.

A CNA Microsoft atribui a essa falha pontuação-base 6.1 e severidade média. Separe instalação do patch e proteção operacional. Confirme versão, custódia e resposta a perda. Como leitura complementar, veja esta análise sobre o bypass do BitLocker no Windows.

Execute a fila

Uma fila curta e verificável reduz o risco de confundir atividade com resultado. Para a CVE-2026-56164, a ação registrada pela CISA é aplicar as mitigações conforme as instruções do fornecedor. Associe essa ação ao prazo do SharePoint, guarde a versão e execute um teste controlado. A CVE-2026-56155 recebe a mesma ação de mitigação conforme as instruções do fornecedor. No AD FS, mantenha um recibo independente com o estado do serviço depois da mudança.

  1. Localizar: cruzar identificadores com o inventário.
  2. Priorizar: separar as entradas KEV e seus prazos.
  3. Preparar: confirmar versão, teste e reversão.
  4. Corrigir: seguir a orientação aplicável ao produto.
  5. Verificar: testar o serviço e registrar versão.

Segundo a CISA, os stakeholders devem avaliar a internet exposure de cada ativo e seguir as patching guidelines da BOD 26-04. O fechamento deve responder quais ativos eram aplicáveis, quais receberam a correção correta e quais testes demonstram operação normal. Se uma resposta faltar, a linha permanece pendente. Assim, o resultado continua ligado ao risco descrito, à ação executada e à evidência recolhida.

Fontes