Microsoft har denne måneden løst 137 sikkerhetsfeil i en omfattende oppdatering av sine produkter og systemer. Selv om antallet er høyt, rapporterer selskapet at ingen av feilene for tiden blir aktivt utnyttet av ondsinnede aktører.
Av de 137 feilene er 13 klassifisert som kritiske, inkludert to sårbarheter i Azure (CVE-2026-33109 og CVE-2026-42823) og én i Microsoft Dynamics 365 (CVE-2026-42898), som begge har en alvorlighetsgrad på 9,9 på CVSS-skalaen.
I tillegg har Microsoft identifisert 13 feil som anses som mer sannsynlige å bli utnyttet, mens 113 feil vurderes som mindre sannsynlige eller lite sannsynlige å bli misbrukt.
Økende trussel fra AI-basert feilfinning
Det høye antallet sikkerhetsfeil gjenspeiler en økende trend der kunstig intelligens brukes til å oppdage tidligere ukjente svakheter i programvare. Selv om ikke alle feilene er funnet ved hjelp av AI, har slike verktøy trolig spilt en rolle i identifiseringen av mange av dem.
«Selv om ikke alle feilene ble funnet av AI, er det sannsynlig at AI har vært involvert – for eksempel ved å generere rapporter eller analysere kode,» skriver Dustin Childs, leder for trusselbevissthet hos Trend Micro’s Zero Day Initiative, i en bloggpost.
Alvorlige sårbarheter krever umiddelbar oppdatering
Childs trekker spesielt frem CVE-2026-41096, en kritisk feil i Microsofts Windows DNS som tillater eksterne angripere å kjøre kode uten autentisering eller brukerinteraksjon. Siden DNS-klienten kjører på nesten alle Windows-maskiner, er angrepsflaten svært stor.
«En angriper som kan påvirke DNS-responser, kan oppnå ekstern kodeutførelse uten autentisering på tvers av hele bedriftens systemer,» sier Childs.
Han peker også på CVE-2026-41089, en feil i Windows Netlogon som tillater eksterne angripere å kjøre kode uten autentisering. Denne feilen blir beskrevet som «den høyeste-impakt-buggen som krever umiddelbar patching».
«En kompromittert domenekontroller er en kompromittert bedrift,» legger Childs til.
Jack Bicer, direktør for sårbarhetsforskning hos Action1, fokuserer på CVE-2026-42898, den kritiske feilen i Microsoft Dynamics 365.
«Med ingen krav til brukerinteraksjon og potensialet til å påvirke systemer utover den opprinnelige sikkerhetsskranken, utgjør denne feilen en alvorlig risiko for bedrifter. En angriper med grunnleggende tilgang kan omgjøre en forretningsapplikasjonsserver til en plattform for fjernkodeutførelse,» sier Bicer.
«Et kompromittert Dynamics 365-system kan utsette kundeinformasjon, driftsprosesser, økonomisk data og integrerte forretningssystemer for risiko. Siden CRM-miljøer ofte er koblet til identitetstjenester, databaser og bedriftsapplikasjoner, kan vellykket utnyttelse føre til bredere organisatorisk kompromittering og driftsavbrudd,» legger han til.
Den fullstendige listen over løste sårbarheter er tilgjengelig på Microsofts Security Response Center.
Relaterte artikler
ArXiv innfører ett års utestengelse for forskere som leverer AI-generert sladder
ArXiv, the open-access repository of preprint academic research, will ban authors of papers for a year if they submit obviously AI-generated work. Lat...
Ukjent teknologi i skyggen av Palantir og ICE
This is Behind the Blog, where we share our behind-the-scenes thoughts about how a few of our top stories of the week came together. This week, we dis...
Alvorlig Cisco-sårbarhet utnyttet av avanserte trusselaktører
Attackers returned once again to a common target with a massive user base by exploiting a max-severity zero-day vulnerability affecting Cisco Catalyst...
Mayo-klinikken tar i bruk AI for å overvåke samtaler på akuttmottak
Mayo Clinic, the massive U.S. hospital network, is using what it describes as “Ambient Listening” to record patient interactions with nurses, includin...
Pentagon-topp: Avansert AI vil revolusjonere krigføring
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
Hvit hus-ekspert: Identitetssikkerhet avgjørende i AI-æraen
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
Foxconn utsatt for cyberangrep: Nitrogen krever løsepenger for stjålet data
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
AI-poop-app selger brukeres avføring til datasett – hva skjer med sensitiv helsedata?
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...