Microsoft usuwa 137 luk w majowym Patch Tuesday, w tym 13 krytycznych

Microsoft usuwa rekordową liczbę luk w majowym Patch Tuesday

Firma Microsoft opublikowała kolejne comiesięczne aktualizacje bezpieczeństwa, usuwając aż 137 luk w swoich produktach, komponentach i systemach. Pomimo dużej liczby wykrytych błędów, żadna z nich nie była aktywnie wykorzystywana przez atakujących w momencie publikacji poprawek.

13 krytycznych luk, w tym zagrożenia dla Azure i Dynamics 365

Spośród 137 luk, 13 otrzymało najwyższą ocenę krytyczności w skali CVSS. Wśród nich znalazły się m.in.:

• CVE-2026-33109 i CVE-2026-42823 – luki w usłudze Azure,
• CVE-2026-42898 – krytyczna podatność w Microsoft Dynamics 365 z oceną 9.9 w skali CVSS.

Firma zaklasyfikowała 13 luk jako bardziej prawdopodobne do wykorzystania przez cyberprzestępców, natomiast 113 błędów uznano za mniej lub wręcz mało prawdopodobne do ataku.

Rola sztucznej inteligencji w wykrywaniu luk

Eksperci zauważają rosnącą liczbę luk wykrywanych dzięki narzędziom opartym na sztucznej inteligencji. Dustin Childs, szef ds. świadomości zagrożeń w Trend Micro’s Zero Day Initiative, podkreślił, że choć nie wszystkie błędy zostały znalezione przez AI, to część z nich mogła być z nią powiązana – nawet jeśli AI tylko ułatwiła proces raportowania.

Childs zwrócił szczególną uwagę na CVE-2026-41096, określając ją jako „groźnie wyglądającą lukę” w systemie Windows DNS. Pozwala ona atakującym na zdalne wykonanie kodu bez konieczności uwierzytelnienia lub interakcji użytkownika. Ponieważ klient DNS działa na niemal każdym komputerze z systemem Windows, powierzchnia ataku jest ogromna.

„Atakujący, który ma możliwość wpływania na odpowiedzi DNS, może przeprowadzić nieautoryzowane zdalne wykonanie kodu w całej infrastrukturze przedsiębiorstwa”, – ostrzega Childs.

Ekspert wyróżnił również CVE-2026-41089, lukę w protokole Netlogon systemu Windows, która umożliwia nieautoryzowanym atakującym zdalne wykonanie kodu. Według Childsa, jest to „najbardziej wpływowa luka, wymagająca natychmiastowego załatania”.

„Zaatakowany kontroler domeny oznacza zagrożenie dla całej domeny”, – podkreśla.

Niebezpieczeństwo związane z Microsoft Dynamics 365

Jack Bicer, dyrektor ds. badań podatności w Action1, zwrócił uwagę na CVE-2026-42898 – krytyczną lukę w Microsoft Dynamics 365. Według niego, podatność ta stanowi poważne zagrożenie dla przedsiębiorstw, ponieważ:

• nie wymaga interakcji użytkownika,
• może wpływać na systemy poza pierwotnym zakresem zabezpieczeń komponentu.

„Atakujący z podstawowym dostępem może przekształcić serwer aplikacji biznesowej w platformę zdalnego wykonania kodu”, – wyjaśnia Bicer.

Ekspert dodaje, że przejęcie infrastruktury Dynamics 365 może prowadzić do:

• ujawnienia danych klientów,
• zagrożenia przepływów operacyjnych,
• wycieku informacji finansowych,
• zakłóceń w działaniu systemów biznesowych.

Ponieważ środowiska CRM często łączą się z usługami tożsamości, bazami danych i innymi aplikacjami przedsiębiorstwa, udana eksploatacja luki może skutkować szerszymi konsekwencjami dla organizacji.

Pełna lista luk dostępna w centrum bezpieczeństwa Microsoft

Szczegółowa lista wszystkich 137 luk, wraz z zaleceniami dotyczącymi łatania, została opublikowana w Microsoft Security Response Center. Eksperci zalecają jak najszybsze wdrożenie poprawek, zwłaszcza w przypadku krytycznych podatności, aby zminimalizować ryzyko ataków.