Microsoft har udgivet sin månedlige Patch Tuesday-opdatering med rettelser til 137 sikkerhedshuller på tværs af virksomhedens produkter, komponenter og underliggende systemer. Selvom antallet af sårbarheder er højt, rapporterer Microsoft, at ingen af dem bliver aktivt udnyttet af angribere i øjeblikket.
13 kritiske sårbarheder kræver øjeblikkelig opmærksomhed
Af de 137 rettede sårbarheder er 13 blevet klassificeret som kritiske med CVSS-score 9,0 eller højere. Blandt de mest alvorlige er to huller i Microsoft Azure – CVE-2026-33109 og CVE-2026-42823 – samt CVE-2026-42898 i Microsoft Dynamics 365, som begge har en score på 9,9.
Microsoft har desuden identificeret 13 sårbarheder, der vurderes at have en højere risiko for at blive udnyttet, mens 113 anses for mindre sandsynlige at blive misbrugt.
AI spiller en stigende rolle i fund af nye sårbarheder
Det høje antal rettelser afspejler en stigende tendens, som forskere har forudset. Kunstig intelligens-modeller bliver i stigende grad anvendt til at opdage tidligere ukendte fejl i kode. Selvom ikke alle huller er fundet ved hjælp af AI, er der sandsynligvis en forbindelse til AI-teknologi, også selvom det blot drejer sig om AI-genereret kode eller rapportering, påpeger Dustin Childs, chef for trusselsbevidsthed hos Trend Micro’s Zero Day Initiative.
Childs fremhæver især CVE-2026-41096, en alvorlig fejl i Microsoft Windows DNS, der tillader fjernudførelse af kode uden autentifikation eller brugerinteraktion. "Da DNS-klienten kører på stort set alle Windows-maskiner, er angrebsfladen enorm. En angriber, der kan påvirke DNS-svar, kan opnå uautentificeret fjernudførelse af kode på tværs af hele virksomhedens systemer," forklarer han.
En anden kritisk sårbarhed, CVE-2026-41089 i Windows Netlogon, tillader ligeledes fjernudførelse af kode uden autentifikation. Childs kalder dette for "den højeste-impact-fejl, der kræver øjeblikkelig rettelse", og tilføjer: "En kompromitteret domænecontroller er lig med en kompromitteret domæne."
Dynamics 365-fejl udgør stor risiko for virksomheder
Jack Bicer, direktør for sårbarhedsforskning hos Action1, peger på CVE-2026-42898 i Microsoft Dynamics 365 som en særlig kritisk trussel. "Uden behov for brugerinteraktion og med potentiale til at påvirke systemer ud over det oprindelige sikkerhedsområde, udgør denne sårbarhed en alvorlig risiko for virksomheder," siger han.
Bicer forklarer, at et kompromitteret Dynamics 365-system kan føre til læk af kundeoplysninger, forretningskritiske arbejdsgange, økonomiske data og integrationer med andre forretningssystemer. "Da CRM-miljøer ofte er forbundet med identitetstjenester, databaser og andre forretningsapplikationer, kan en succesfuld udnyttelse føre til omfattende kompromittering og forstyrrelse af organisationens drift," advarer han.
Fuld liste over rettelser tilgængelig
Den fulde liste over de rettede sårbarheder kan findes på Microsofts Security Response Center. Virksomheder opfordres til straks at installere de nye opdateringer for at minimere risikoen for angreb.
Relaterede artikler
ArXiv indfører ét-års udelukkelse for forskere, der indsender AI-genereret slop
ArXiv, the open-access repository of preprint academic research, will ban authors of papers for a year if they submit obviously AI-generated work. Lat...
Bag kulisserne: Nye sange og en kollision med historien
This is Behind the Blog, where we share our behind-the-scenes thoughts about how a few of our top stories of the week came together. This week, we dis...
Cisco lukker kritisk nul-dags-sårbarhed med CVSS-score 10 – angreb pågår
Attackers returned once again to a common target with a massive user base by exploiting a max-severity zero-day vulnerability affecting Cisco Catalyst...
Mayo Clinic benytter AI til at optage samtaler i skadestuen – patienter kan sige nej
Mayo Clinic, the massive U.S. hospital network, is using what it describes as “Ambient Listening” to record patient interactions with nurses, includin...
Pentagons topcyberchef: AI er revolutionerende for krigsførelse
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
Hvid Hus-ekspert: Identitetssikkerhed bliver altafgørende i AI-æraen
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Foxconn ramt af cyberangreb: Nitrogen-gruppe stjæler 8 terabyte data
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
AI-baseret afføringsanalyse-app forsøger at sælge database med 150.000 brugeres afføring
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...