Mayın Patch Salı təhlükəsizlik yeniləməsində Microsoft 137 zəifliyi aradan qaldırdı – 13-ü kritik dərəcədə

Microsoft 137 zəifliyi aradan qaldırdı – 13-ü kritik dərəcədə

Microsoft mayın Patch Salı təhlükəsizlik yeniləməsində müxtəlif korporativ məhsulları, komponentləri və əsas sistemləri əhatə edən 137 zəifliyi aradan qaldırdı. Yüksək sayda zəifliklərə baxmayaraq, şirkət bu ayki yeniləmədə aktiv şəkildə istismar edilən sıfır-gün zəifliklərinin olmadığını bildirdi.

Kritik zəifliklər və yüksək riskli vuranlar

137 zəiflikdən 13-ü kritik CVSS reytinqinə malikdir. Bunlara Azure sistemlərini təsir edən CVE-2026-33109 və CVE-2026-42823, həmçinin Microsoft Dynamics 365-də 9.9 CVSS reytinqinə malik CVE-2026-42898 daxildir. Həmçinin, 13 zəiflik potensial olaraq istismar olunma ehtimalı daha yüksək olanlar kimi qeydə alınıb, 113-ü isə istismar olunma ehtimalı aşağı olanlar siyahısına daxil edilib.

Süni intellektin rolu

Mütəxəssislər süni intellekt modellərinin kodlardakı əvvəllər aşkar edilməmiş zəiflikləri tapmaqda istifadə edilməsinin bu artımın əsas səbəblərindən biri olduğunu qeyd edir. Trend Micro-nun Zero Day Initiative qrupunun təhlükə məlumatları üzrə rəhbəri Dustin Childs bunu belə izah edir:

"Bütün bu zəifliklərin süni intellekt tərəfindən tapıldığını demək olmaz, lakin onların süni intellektdən istifadə ilə əlaqəsi ola bilər – hətta sadəcə olaraq süni intellektin kodun təhlilini həyata keçirilməsi belə."

Ən təhlükəli zəifliklər

Childs xüsusilə CVE-2026-41096 zəifliyinə diqqət çəkir ki, bu da Microsoft Windows DNS-də qeyri-qanuni hücumçulara uzaqdan kod icrasına imkan verən təhlükəli bir zəiflikdir:

"Heç bir autentifikasiya və ya istifadəçi qarşılıqlı əlaqəsi tələb olunmur. Windows DNS Client-i praktik olaraq bütün Windows maşınlarında işləyir, buna görə də hücum səthi çox böyükdür. DNS cavablarına təsir etmək mövqeyində olan hücumçu müəssisənin daxilində autentifikasiya tələb etmədən uzaqdan kod icrasını həyata keçirə bilər."

Childs həmçinin CVE-2026-41089 zəifliyini də xüsusi qeyd edir ki, bu da Windows Netlogon sistemində autentifikasiya tələb etmədən uzaqdan kod icrasına imkan verir. O, bu zəifliyi "dərhal yamalanması tələb olunan ən yüksək təsirli zəiflik" olaraq təsvir edir və qeyd edir ki, "kompromis olunmuş domen nəzarətçisi deməkdir ki, bütün domen kompromis olunmuşdur".

Microsoft Dynamics 365-dəki kritik zəiflik

Action1 şirkətinin zəiflik tədqiqatı üzrə direktoru Jack Bicer isə Microsoft Dynamics 365-dəki CVE-2026-42898 zəifliyinə xüsusi diqqət çəkir. O, bildirir ki, bu zəiflik istifadəçi qarşılıqlı əlaqəsi tələb etmədən müəssisə sistemlərinə ciddi təhlükə yaradır:

"Bu zəiflik istifadəçi qarşılıqlı əlaqəsi tələb etmədən müəssisənin tətbiq serverini uzaqdan kod icra platformasına çevirə bilər. Dynamics 365 infrastrukturunun kompromisə uğraması müştəri məlumatlarının, əməliyyat axınlarının, maliyyə məlumatlarının və inteqrasiya olunmuş biznes sistemlərinin açıqlanmasına səbəb ola bilər."

Bicer qeyd edir ki, CRM sistemləri tez-tez identifikasiya xidmətləri, verilənlər bazaları və müəssisə tətbiqləri ilə əlaqələndirildiyindən, uğurlu istismar nəticəsində təşkilati səviyyədə daha geniş kompromis və əməliyyat pozuntuları baş verə bilər.

Təhlükəsizlik yeniləmələri haqqında məlumat

Bu ay ərzində aradan qaldırılan bütün zəifliklərin tam siyahısına Microsoft Təhlükəsizlik Cavab Mərkəzinin rəsmi saytından baxmaq mümkündür.