Vijfhonderdzeventig correcties op een enkele dinsdag

Het Microsoft Security Response Center publiceerde zijn juli-update op dinsdag 14 juli, en de lijst hield niet op waar iedereen dat verwachtte. Microsoft dichtte 570 kwetsbaarheden in een enkele uitlevering. Het vorige record, zes weken eerder in juni gezet, stond op 206. Negenenvijftig van de juli-lekken gelden als kritiek, en 48 daarvan maken uitvoering van code op afstand mogelijk. De volledige verdeling komt op 254 lekken voor rechtenverhoging, 145 voor uitvoering van code op afstand, 102 voor het lekken van informatie, 35 voor het platleggen van diensten, 17 omzeilingen van beveiligingsfuncties en 16 spoofinglekken. Het totaal telt de Chromium-lekken die Edge erft niet mee.

Waarom dit telt. Een maandelijks patchvenster is een vaste hoeveelheid werkuren. Het aantal posten dat erdoorheen moet is bijna verdrievoudigd, en de leverancier heeft zwart op wit gezegd dat dit geen uitschieter is. Elk proces dat ervan uitgaat dat een beheerder de lijst kan lezen, elke post kan wegen en kan beslissen, is dinsdag gebroken.

Twee worden al ingezet tegen ADFS en SharePoint

Drie van de 570 zijn zerodays, en twee daarvan liggen onder actieve aanval. CVE-2026-56155 is een lek voor rechtenverhoging in Active Directory Federation Services, waar toegangscontrole die niet fijnmazig genoeg is een bevoegde aanvaller lokaal hogere rechten geeft. CVE-2026-56164 is een lek voor rechtenverhoging in SharePoint Server, waar een ontbrekende authenticatiecontrole op een kritieke functie een niet-aangemelde aanvaller over het netwerk hogere rechten geeft. De derde, CVE-2026-50661, is een openbaar gemaakte omzeiling van de beveiligingsfunctie van BitLocker.

Geen van beide misbruikte lekken is exotisch, en dat is precies het punt. Active Directory Federation Services is de machine die uw federatietokens uitgeeft. In SharePoint liggen uw contracten, uw bestuursstukken en uw klantenlijsten. Wie op een van beide hogere rechten krijgt, heeft geen tweede exploit nodig om bij de rest te komen. Draait u er zelf een, dan zijn dit de enige twee posten van de juli-lijst die vandaag een beslissing vragen. Het NCSC in Den Haag geeft bij lekken van dit type doorgaans een eigen advies uit.

De BitLocker-omzeiling valt een juridische verdediging aan, geen laptop

CVE-2026-50661 laat een aanvaller met fysieke toegang bij gegevens op een versleuteld volume komen. Als technisch probleem gelezen is het een apparaatfout die het toestel in handen vereist. Als Europees nalevingsprobleem gelezen is het iets anders. Artikel 34 van de AVG bepaalt dat een verwerkingsverantwoordelijke de betrokkenen niet hoeft te informeren wanneer de blootgestelde gegevens onbegrijpelijk zijn gemaakt voor onbevoegden, en volledige schijfversleuteling is de reden dat de meeste verloren of gestolen laptops nooit een meldplichtig incident worden.

Het gevolg. Die redenering staat of valt met versleuteling die standhoudt. Een gepubliceerde omzeiling maakt haar aanvechtbaar, en het argument draagt nu een CVE-nummer dat elke toezichthouder kan opzoeken. De termijn van 72 uur uit artikel 33 pauzeert niet terwijl u uw standpunt bepaalt. Wie BitLocker opvoert als zijn antwoord op een verloren apparaat, hoort deze patch op het wagenpark te hebben voordat de volgende laptop verdwijnt, en hoort de datum te kunnen aantonen.

Microsoft noemt de vloedgolf de nieuwe basislijn

De sprong komt niet door een slechte maand code. Op 9 juli, vijf dagen voor de uitlevering, publiceerde Microsoft op de Windows Experience Blog een bericht waarin het uitlegt dat het een AI-systeem genaamd MDASH, zijn scantuig met meerdere modellen, over de codebasis van Windows heeft laten lopen. MDASH scant kritieke binaire bestanden en valideert zijn vondsten met meerdere modellen. De eerste openbare oogst, in mei, telde 16 tot dan toe onbekende CVE's, waaronder vier kritieke lekken voor uitvoering van code op afstand in kerncomponenten zoals de TCP/IP-kernelstack, de IKEv2-dienst, Netlogon en de DNS-API-bibliotheek. Microsoft zei zijn klanten onomwonden een hoger volume aan beveiligingsupdates in elke uitlevering te verwachten.

Dit blijft niet bij één leverancier. Chrome 150 verscheen met 433 beveiligingscorrecties. Adobe is overgestapt op twee uitleveringen per maand en Mozilla op een tempo van twee weken. De sector heeft het vinden van zijn eigen fouten gemechaniseerd en houdt het tempo aan bij het leveren ervan. Uw vermogen om ze op te nemen is geen millimeter opgeschoven.

Verander de maatstaf voordat u het schema verandert

De reflex is om meer patchuren te vragen. Dat is de verkeerde hefboom, want de instroom kent geen plafond meer. Het werkbare antwoord is de CVE-lijst niet langer te behandelen als een wachtrij die leeg moet, maar als een signaal dat gefilterd moet worden. Twee filters doen bijna al het werk: wordt het lek misbruikt, en is het getroffen systeem van buitenaf bereikbaar. Drie van de 570 lekken kwamen deze maand door het eerste filter. Dat is een lijst die een mens werkelijk kan lezen.

De kern. De maatstaf voor de raad moet meebewegen. Een dekkingspercentage voor patches meet inmiddels de scanner van Microsoft en niet uw verdediging, en het zal er elke maand slechter uitzien terwijl het minder betekent. Rapporteer in plaats daarvan hoe lang u erover deed om de misbruikte en de vanaf internet bereikbare lekken te dichten. Dat cijfer is van u, het is klein genoeg om te verdedigen, en het is het enige waar een aanvaller om geeft.