Microsoft випустила один із найбільших Patch Tuesday року з 138 виправленнями безпеки

Microsoft випустила масштабний пакет оновлень Patch Tuesday, у якому виправила 138 вразливостей у Windows, Office та інших продуктах компанії. Серед них опинилися кілька критичних zero-day багів, які хакери вже використовували в реальних атаках до виходу патчів.

Microsoft випустила травневий пакет оновлень Patch Tuesday, у межах якого закрила 138 вразливостей у Windows, Azure, Office, Teams, Dynamics 365 та інших продуктах. Серед виправлених проблем опинилися десятки критичних багів, включно з уразливостями віддаленого виконання коду та підвищення привілеїв.

Компанія повідомила, що цього разу не було виявлено вразливостей, які вже використовувалися в атаках або були публічно розкриті до релізу патчів. Водночас масштаб оновлення став одним із найбільших цього року.

Із 138 виправлених багів:

• 30 отримали статус Critical;

• 104 класифікували як Important;

• 3 отримали Moderate;

• 1 позначили як Low.

Найбільшу частину становили вразливості підвищення привілеїв. Microsoft усунула 61 таку проблему. Також компанія закрила 32 баги віддаленого виконання коду, 15 проблем розкриття інформації, 14 spoofing-вразливостей, 8 DoS-багів, 6 bypass-вразливостей та 2 tampering-проблеми.

Окремо Microsoft згадала CVE-2025-54518, яку цього місяця виправила AMD. Вразливість стосується процесорів Zen 2 та може дозволити пошкодження інструкцій, що виконуються на іншому рівні привілеїв, потенційно відкриваючи шлях до ескалації привілеїв.

Також оновлення включають виправлення для 127 вразливостей Chromium, оскільки цей рушій використовується в браузері Microsoft Edge.

Однією з найнебезпечніших проблем стала CVE-2026-41096 у Windows DNS. Вразливість отримала CVSS 9.8 та дозволяє віддалене виконання коду через спеціально сформовану DNS-відповідь.

У Microsoft пояснили, що зловмисник може надіслати шкідливу DNS-відповідь до вразливої системи Windows, що призведе до пошкодження пам’яті та потенційного запуску коду без автентифікації.

Серед інших критичних багів компанія виділила:

• CVE-2026-42826 (оцінка CVSS: 10.0) – Розкриття конфіденційної інформації неавторизованому суб’єкту в Azure DevOps, що дозволяє неавторизованому зловмиснику розкрити інформацію через мережу. (Не вимагає дій клієнта)

• CVE-2026-33109 (оцінка CVSS: 9.9) – Неправильний контроль доступу в керованому екземплярі Azure для Apache Cassandra, який дозволяє авторизованому зловмиснику виконувати код через мережу. (Дії клієнта не потрібні)

• CVE-2026-42898 (оцінка CVSS: 9.9) – вразливість, що дозволяє впроваджувати код у Microsoft Dynamics 365 (on-premises), що дозволяє авторизованому зловмиснику виконувати код через мережу.

• CVE-2026-42823 (оцінка CVSS: 9.9) – Неправильний контроль доступу в Azure Logic Apps, який дозволяє авторизованому зловмиснику підвищувати привілеї в мережі.

• CVE-2026-41089 (оцінка CVSS: 9.8) – переповнення буфера на основі стека в Windows Netlogon, яке дозволяє неавторизованому зловмиснику виконувати код через мережу без необхідності входу в систему або попереднього доступу, надсилаючи спеціально створений мережевий запит до сервера Windows, який діє як контролер домену.

• CVE-2026-33823 (оцінка CVSS: 9.6) – Неправильна авторизація в Microsoft Teams, яка дозволяє уповноваженому зловмиснику розкривати інформацію через мережу. (Дії клієнта не потребують жодних дій)

• CVE-2026-35428 (оцінка CVSS: 9.6) – вразливість, що дозволяє впроваджувати команди в Azure Cloud Shell, яка дозволяє неавторизованому зловмиснику виконувати спуфінг через мережу. (Не вимагає дій клієнта)

• CVE-2026-40379 (оцінка CVSS: 9.3) – Витік конфіденційної інформації неавторизованому суб’єкту в Azure Entra ID, що дозволяє неавторизованому зловмиснику виконувати спуфінг через мережу. (Не вимагає дій клієнта)

• CVE-2026-40402 (оцінка CVSS: 9.3) – Злом у Windows Hyper-V, що дозволяє неавторизованому зловмиснику отримати системні привілеї та отримати доступ до середовища хоста Hyper-V.

• CVE-2026-41103 (оцінка CVSS: 9.1) – Неправильна реалізація алгоритму автентифікації в плагіні Microsoft SSO для Jira та Confluence, яка дозволяє неавторизованому зловмиснику отримати несанкціонований доступ до Jira або Confluence як дійсному користувачеві та виконувати дії з тими ж дозволами, що й у скомпрометованого облікового запису.

• CVE-2026-33117 (оцінка CVSS: 9.1) – Неправильна автентифікація в Azure SDK, яка дозволяє неавторизованому зловмиснику обійти функцію безпеки через мережу.

• CVE-2026-42833 (оцінка CVSS: 9,1) – Виконання з непотрібними привілеями в Microsoft Dynamics 365 (on-premises), яке дозволяє авторизованому зловмиснику виконувати код через мережу та отримувати можливість взаємодіяти з програмами та контентом інших клієнтів.

• CVE-2026-33844 (оцінка CVSS: 9.0) – Неправильна перевірка вхідних даних у керованому екземплярі Azure для Apache Cassandra, яка дозволяє авторизованому зловмиснику виконувати код через мережу. (Дії клієнта не потрібні)

Дослідники Rapid7 особливо звернули увагу на CVE-2026-41103. За їхніми словами, проблема дозволяє зловмиснику видавати себе за легітимного користувача через підроблені облікові дані та обходити Entra ID.

У Action1 назвали CVE-2026-42898 у Dynamics 365 однією з найнебезпечніших вразливостей релізу. За словами дослідника Джека Бісера, навіть користувач із мінімальними правами може отримати можливість запускати довільний код у бізнес-системах компанії.

«Компрометація Dynamics 365 може призвести до витоку клієнтських записів, фінансової інформації та компрометації інтегрованих корпоративних систем», – зазначив Бісер.

Microsoft також попередила адміністраторів про необхідність оновлення сертифікатів Secure Boot до версії 2023 року. Сертифікати 2011 року втратять чинність уже 26 червня 2026 року.

У Nightwing заявили, що ігнорування цього оновлення може призвести до «катастрофічних збоїв безпеки на рівні завантаження» та проблем із запуском систем.

Окрему увагу Microsoft приділила ролі штучного інтелекту у виявленні вразливостей. За даними компанії, 16 багів у мережевому стеку та механізмах автентифікації Windows були знайдені новою AI-системою MDASH.

У Microsoft заявили, що використання ШІ значно прискорює пошук вразливостей, а обсяги Patch Tuesday найближчими місяцями можуть ще більше зрости.

«Основи безпеки не змінилися. Змінюється швидкість, з якою їх потрібно застосовувати», – заявив віцепрезидент Microsoft Security Response Center Том Галлахер.

Компанія рекомендує організаціям активніше використовувати MFA, прибирати застарілі механізми автентифікації, сегментувати мережі та посилювати системи виявлення й реагування на атаки.