Microsoft Perbaiki 137 Kerentanan dalam Patch Tuesday Mei, Termasuk 13 Kritis

Microsoft Perbaiki 137 Kerentanan dalam Pembaruan Keamanan Mei

Microsoft merilis pembaruan keamanan Patch Tuesday Mei dengan memperbaiki 137 kerentanan yang tersebar di berbagai produk, komponen, dan sistem dasar perusahaan. Meskipun jumlahnya mencapai tiga digit, vendor ini menyatakan tidak ada zero-day yang dieksploitasi secara aktif dalam pembaruan kali ini.

13 Kerentanan Dinilai Kritis

Dari total 137 kerentanan, 13 di antaranya diberi peringkat kritis berdasarkan Common Vulnerability Scoring System (CVSS). Beberapa kerentanan kritis tersebut meliputi:

• CVE-2026-33109 dan CVE-2026-42823 — dua kerentanan yang memengaruhi layanan Azure.
• CVE-2026-42898 — kerentanan kritis di Microsoft Dynamics 365 dengan skor CVSS 9,9.

Selain itu, Microsoft juga menandai 13 kerentanan lainnya sebagai lebih mungkin dieksploitasi, sementara 113 kerentanan lainnya dinilai kurang atau tidak mungkin dieksploitasi.

Peningkatan Kerentanan akibat AI

Volume kerentanan yang tinggi mencerminkan tren yang telah diprediksi oleh para peneliti. Penerapan model kecerdasan buatan (AI) dalam menemukan kerentanan baru dalam kode menjadi salah satu faktor penyebabnya.

"Meskipun tidak semua kerentanan ditemukan oleh AI, kemungkinan besar ada komponen AI yang terlibat — bahkan jika hanya dalam penulisan laporan kerentanan."

Kerentanan Kritis yang Perlu Segera Diperhatikan

Childs menyoroti CVE-2026-41096, sebuah kerentanan di Microsoft Windows DNS yang memungkinkan penyerang menjalankan kode secara jarak jauh tanpa autentikasi atau interaksi pengguna.

"Karena layanan DNS Client berjalan di hampir semua mesin Windows, permukaan serangan menjadi sangat luas. Penyerang yang dapat memengaruhi respons DNS dapat melakukan eksekusi kode jarak jauh tanpa autentikasi di seluruh perusahaan."

Ia juga menyebut CVE-2026-41089, sebuah kerentanan di Windows Netlogon, sebagai kerentanan dengan dampak tertinggi yang memerlukan perbaikan segera. Kerentanan ini memungkinkan penyerang menjalankan kode secara jarak jauh tanpa autentikasi.

"Domain controller yang terkompromi berarti seluruh domain juga terkompromi."

Sementara itu, Jack Bicer, Direktur Riset Kerentanan di Action1, menekankan pentingnya memperbaiki CVE-2026-42898 di Microsoft Dynamics 365.

"Dengan tidak memerlukan interaksi pengguna dan potensi dampaknya yang melampaui komponen yang rentan, kerentanan ini menimbulkan risiko serius bagi perusahaan. Seorang penyerang dengan akses dasar dapat menjadikan server aplikasi bisnis sebagai platform eksekusi jarak jauh."

Bicer juga menjelaskan bahwa kompromi infrastruktur Dynamics 365 dapat mengakibatkan pencurian data pelanggan, gangguan alur kerja operasional, serta akses ke informasi keuangan dan sistem bisnis terintegrasi. Karena lingkungan CRM sering terhubung dengan layanan identitas, basis data, dan aplikasi perusahaan, eksploitasi yang berhasil dapat menyebabkan kompromi organisasi secara luas dan gangguan operasional.

Daftar Lengkap Kerentanan Tersedia di Pusat Respons Keamanan Microsoft

Seluruh daftar kerentanan yang diperbaiki dalam pembaruan Patch Tuesday Mei dapat diakses melalui Pusat Respons Keamanan Microsoft.