Связаться с нами
Ру
Русский English
Услуги О компании Pert Блог
Ру
Русский English
MS Patch Tuesday

Анализ обновлений Microsoft Patch Tuesday – Май 2026

Краткое Резюме

Во вторник, 12.05.2026, Microsoft выпустила ежемесячный патч безопасности, устраняющий 137 уязвимостей в своих продуктах.

По уровню опасности:

  • Important - 103;
  • Critical - 30;
  • Moderate - 3;
  • Low - 1.

Общие тенденции

Майский Patch Tuesday 2026 года принес ИТ-сообществу 137 исправлений. И хотя общий объем немного снизился по сравнению с рекордным апрелем (165), структура этого обновления делает его одним из самых опасных в этом году. Главная аномалия месяца — беспрецедентное количество уязвимостей со статусом «Critical». Ключевые тенденции мая:

  • Аномальный всплеск критических уязвимостей: В этом месяце исправлено колоссальное количество уязвимостей критического уровня — 30 (для сравнения: в апреле их было 8, в марте — 0). Это свидетельствует об обнаружении целого пласта фундаментальных архитектурных ошибок в продуктах Microsoft.
  • Отсутствие Zero-Days: В майском выпуске официально нет ни одной активно эксплуатируемой или публично раскрытой уязвимости (на момент релиза). Однако наличие десятков уязвимостей с CVSS выше 9.0 гарантирует, что злоумышленники уже начали реверс-инжиниринг патчей для создания эксплойтов.
  • Угрозы базовой инфраструктуре (CVSS 9.8 - 10.0): Под ударом оказались самые критичные компоненты корпоративных сетей. Исправлены уязвимости удаленного выполнения кода в Windows Netlogon (CVE-2026-41089) и Windows DNS Client (CVE-2026-41096). Ошибки в этих компонентах традиционно открывают путь для создания самораспространяющихся червей и мгновенного захвата контроллеров домена. Кроме того, зафиксирована редчайшая уязвимость с максимальной оценкой CVSS 10.0 в Azure DevOps, грозящая тотальной компрометацией цепочек поставок ПО (Supply Chain Attacks).
  • Массированная атака на SharePoint и Office: Продолжается масштабная чистка кода в приложениях для совместной работы. Серверы SharePoint получили очередную огромную порцию исправлений RCE (более 6 критических и важных CVE). Параллельно закрыт гигантский кластер RCE-уязвимостей в десктопных клиентах Microsoft Word, Excel и Office (более 15 CVE), что подтверждает непрекращающийся фокус атакующих на фишинговые рассылки с вредоносными документами.
  • Уязвимости в облачных Data-сервисах: Значительное внимание уделено безопасности данных в облаке. Критические исправления (CVSS 9.9) затронули Azure Managed Instance for Apache Cassandra, Azure Logic Apps и Dynamics 365.

Полный Список Уязвимостей

Ниже представлена таблица со всеми уязвимостями, исправленными в этом месяце.

CVETitleTypeCVSSSeverityЭксплуатируетсяПублично Раскрыта
CVE-2026-42826Azure DevOps Information Disclosure VulnerabilityInformation Disclosure10.0CriticalНетНет
CVE-2026-33109Azure Managed Instance for Apache Cassandra Remote Code Execution VulnerabilityRemote Code Execution9.9CriticalНетНет
CVE-2026-42823Azure Logic Apps Elevation of Privilege VulnerabilityElevation of Privilege9.9ImportantНетНет
CVE-2026-42898Microsoft Dynamics 365 On-Premises Remote Code Execution VulnerabilityRemote Code Execution9.9CriticalНетНет
CVE-2026-41089Windows Netlogon Remote Code Execution VulnerabilityRemote Code Execution9.8CriticalНетНет
CVE-2026-41096Windows DNS Client Remote Code Execution VulnerabilityRemote Code Execution9.8CriticalНетНет
CVE-2026-33823Microsoft Team Events Portal Information Disclosure VulnerabilityInformation Disclosure9.6CriticalНетНет
CVE-2026-35428Azure Cloud Shell Spoofing VulnerabilitySpoofing9.6CriticalНетНет
CVE-2026-40379Microsoft Enterprise Security Token Service (ESTS) Spoofing VulnerabilitySpoofing9.3CriticalНетНет
CVE-2026-40402Windows Hyper-V Elevation of Privilege VulnerabilityElevation of Privilege9.3CriticalНетНет
CVE-2026-33117Azure SDK for Java Security Feature Bypass VulnerabilitySecurity Feature Bypass9.1ImportantНетНет
CVE-2026-41103Microsoft SSO Plugin for Jira & Confluence Elevation of Privilege VulnerabilityElevation of Privilege9.1CriticalНетНет
CVE-2026-42833Microsoft Dynamics 365 On-Premises Remote Code Execution VulnerabilityRemote Code Execution9.1ImportantНетНет
CVE-2026-33844Azure Managed Instance for Apache Cassandra Remote Code Execution VulnerabilityRemote Code Execution9.0CriticalНетНет
CVE-2026-32207Azure Machine Learning Notebook Spoofing VulnerabilitySpoofing8.8CriticalНетНет
CVE-2026-33110Microsoft SharePoint Server Remote Code Execution VulnerabilityRemote Code Execution8.8ImportantНетНет
CVE-2026-33112Microsoft SharePoint Server Remote Code Execution VulnerabilityRemote Code Execution8.8ImportantНетНет
CVE-2026-34329Microsoft Message Queuing (MSMQ) Remote Code Execution VulnerabilityRemote Code Execution8.8ImportantНетНет
CVE-2026-35436Microsoft Office Click-To-Run Elevation of Privilege VulnerabilityElevation of Privilege8.8ImportantНетНет
CVE-2026-35439Microsoft SharePoint Server Remote Code Execution VulnerabilityRemote Code Execution8.8ImportantНетНет
CVE-2026-40357Microsoft SharePoint Server Remote Code Execution VulnerabilityRemote Code Execution8.8ImportantНетНет
CVE-2026-40365Microsoft SharePoint Server Remote Code Execution VulnerabilityRemote Code Execution8.8CriticalНетНет
CVE-2026-40370SQL Server Remote Code Execution VulnerabilityRemote Code Execution8.8ImportantНетНет
CVE-2026-40403Windows Graphics Component Remote Code Execution VulnerabilityRemote Code Execution8.8CriticalНетНет
CVE-2026-40420Microsoft Office Click-To-Run Elevation of Privilege VulnerabilityElevation of Privilege8.8ImportantНетНет
CVE-2026-41086Windows Admin Center in Azure Portal Elevation of Privilege VulnerabilityElevation of Privilege8.8ImportantНетНет
CVE-2026-41094Microsoft Data Formulator Remote Code Execution VulnerabilityRemote Code Execution8.8ImportantНетНет
CVE-2026-41109GitHub Copilot and Visual Studio Code Security Feature Bypass VulnerabilitySecurity Feature Bypass8.8ImportantНетНет
CVE-2026-41613Visual Studio Code Elevation of Privilege VulnerabilityElevation of Privilege8.8ImportantНетНет
CVE-2026-35435Azure AI Foundry Elevation of Privilege VulnerabilityElevation of Privilege8.6CriticalНетНет
CVE-2026-40358Microsoft Office Remote Code Execution VulnerabilityRemote Code Execution8.4CriticalНетНет
CVE-2026-40361Microsoft Word Remote Code Execution VulnerabilityRemote Code Execution8.4CriticalНетНет
CVE-2026-40363Microsoft Office Remote Code Execution VulnerabilityRemote Code Execution8.4CriticalНетНет
CVE-2026-40364Microsoft Word Remote Code Execution VulnerabilityRemote Code Execution8.4CriticalНетНет
CVE-2026-40366Microsoft Word Remote Code Execution VulnerabilityRemote Code Execution8.4CriticalНетНет
CVE-2026-40367Microsoft Word Remote Code Execution VulnerabilityRemote Code Execution8.4CriticalНетНет
CVE-2026-35438Windows Admin Center Elevation of Privilege VulnerabilityElevation of Privilege8.3ImportantНетНет
CVE-2026-33833Azure Machine Learning Notebook Spoofing VulnerabilitySpoofing8.2ImportantНетНет
CVE-2026-34327Microsoft Partner Center Spoofing VulnerabilitySpoofing8.2CriticalНетНет
CVE-2026-40415Windows TCP/IP Remote Code Execution VulnerabilityRemote Code Execution8.1ImportantНетНет
CVE-2026-41105Azure Monitor Action Group Notification System Elevation of Privilege VulnerabilityElevation of Privilege8.1CriticalНетНет
CVE-2026-34332Windows Kernel-Mode Driver Remote Code Execution VulnerabilityRemote Code Execution8.0ImportantНетНет
CVE-2026-40368Microsoft SharePoint Server Remote Code Execution VulnerabilityRemote Code Execution8.0ImportantНетНет
CVE-2026-32204Azure Monitor Agent Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-33834Windows Event Logging Service Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-33835Windows Cloud Files Mini Filter Driver Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-33837Windows TCP/IP Local Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-33838Windows Message Queuing (MSMQ) Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-33840Win32k Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-33841Windows Kernel Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-34330Win32k Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-34333Windows Win32k Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-34334Windows TCP/IP Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-34336Windows DWM Core Library Information Disclosure VulnerabilityInformation Disclosure7.8ImportantНетНет
CVE-2026-34337Windows Cloud Files Mini Filter Driver Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-34338Windows Telephony Service Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-34343Windows Application Identity (AppID) Subsystem Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-34344Windows Ancillary Function Driver for WinSock Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-34351Windows TCP/IP Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-35415Windows Storage Spaces Controller Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-35417Windows Win32k Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-35418Windows Cloud Files Mini Filter Driver Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-35420Windows Kernel Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-35421Windows GDI Remote Code Execution VulnerabilityRemote Code Execution7.8CriticalНетНет
CVE-2026-40359Microsoft Excel Remote Code Execution VulnerabilityRemote Code Execution7.8ImportantНетНет
CVE-2026-40360Microsoft Excel Information Disclosure VulnerabilityInformation Disclosure7.8ImportantНетНет
CVE-2026-40362Microsoft Excel Remote Code Execution VulnerabilityRemote Code Execution7.8ImportantНетНет
CVE-2026-40369Windows Kernel Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-40377Microsoft Cryptographic Services Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-40381Azure Connected Machine Agent Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-40382Windows Telephony Service Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-40397Windows Common Log File System Driver Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-40398Windows Remote Desktop Services Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-40399Windows TCP/IP Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-40407Windows Common Log File System Driver Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-40408Windows WAN ARP Driver Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-40417Microsoft Dynamics 365 Business Central Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-40418Microsoft Office Click-To-Run Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-40419Microsoft Office Click-To-Run Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-41088Windows Ancillary Function Driver for WinSock Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-41095Data Deduplication Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-41611Visual Studio Code Remote Code Execution VulnerabilityRemote Code Execution7.8ImportantНетНет
CVE-2026-42831Microsoft Office Remote Code Execution VulnerabilityRemote Code Execution7.8CriticalНетНет
CVE-2026-42896Windows DWM Core Library Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-33821Microsoft Dynamics 365 Customer Insights Elevation of Privilege VulnerabilityElevation of Privilege7.7CriticalНетНет
CVE-2026-42832Microsoft Office Spoofing VulnerabilitySpoofing7.7ImportantНетНет
CVE-2026-26129M365 Copilot Information Disclosure VulnerabilityInformation Disclosure7.5CriticalНетНет
CVE-2026-26164M365 Copilot Information Disclosure VulnerabilityInformation Disclosure7.5CriticalНетНет
CVE-2026-32161Windows Native WiFi Miniport Driver Remote Code Execution VulnerabilityRemote Code Execution7.5CriticalНетНет
CVE-2026-33111Copilot Chat (Microsoft Edge) Information Disclosure VulnerabilityInformation Disclosure7.5CriticalНетНет
CVE-2026-35424Internet Key Exchange (IKE) Protocol Denial of Service VulnerabilityDenial of Service7.5ImportantНетНет
CVE-2026-40405Windows TCP/IP Denial of Service VulnerabilityDenial of Service7.5ImportantНетНет
CVE-2026-40406Windows TCP/IP Information Disclosure VulnerabilityInformation Disclosure7.5ImportantНетНет
CVE-2026-42899ASP.NET Core Denial of Service VulnerabilityDenial of Service7.5ImportantНетНет
CVE-2026-40413Windows TCP/IP Denial of Service VulnerabilityDenial of Service7.4ImportantНетНет
CVE-2026-40414Windows TCP/IP Denial of Service VulnerabilityDenial of Service7.4ImportantНетНет
CVE-2026-41107Microsoft Edge (Chromium-based) Information Disclosure VulnerabilityInformation Disclosure7.4ModerateНетНет
CVE-2026-42893Microsoft Outlook for iOS Tampering VulnerabilityTampering7.4ImportantНетНет
CVE-2026-32177.NET Elevation of Privilege VulnerabilityElevation of Privilege7.3ImportantНетНет
CVE-2026-35433.NET Elevation of Privilege VulnerabilityElevation of Privilege7.3ImportantНетНет
CVE-2026-40401Windows TCP/IP Denial of Service VulnerabilityDenial of Service7.1ImportantНетНет
CVE-2026-41101Microsoft Word for Android Spoofing VulnerabilitySpoofing7.1ImportantНетНет
CVE-2026-41102Microsoft PowerPoint for Android Spoofing VulnerabilitySpoofing7.1ImportantНетНет
CVE-2026-33839Win32k Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-34331Win32k Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-34340Windows Projected File System Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-34341Windows Link-Layer Discovery Protocol (LLDP) Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-34342Windows Print Spooler Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-34345Windows Ancillary Function Driver for WinSock Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-34347Windows Win32k Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-35416Windows Ancillary Function Driver for WinSock Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-40410Windows SMB Client Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-42825Windows Telephony Service Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-21530Windows Rich Text Edit Elevation of Privilege VulnerabilityElevation of Privilege6.7ImportantНетНет
CVE-2026-32170Windows Rich Text Edit Elevation of Privilege VulnerabilityElevation of Privilege6.7ImportantНетНет
CVE-2026-41097Secure Boot Security Feature Bypass VulnerabilitySecurity Feature Bypass6.7ImportantНетНет
CVE-2026-34350Windows Storport Miniport Driver Denial of Service VulnerabilityDenial of Service6.5ImportantНетНет
CVE-2026-35422Windows TCP/IP Driver Security Feature Bypass VulnerabilitySecurity Feature Bypass6.5ImportantНетНет
CVE-2026-40374Microsoft Power Automate Desktop Information Disclosure VulnerabilityInformation Disclosure6.5ImportantНетНет
CVE-2026-42830Azure Monitor Agent Metrics Extension Elevation of Privilege VulnerabilityElevation of Privilege6.5ImportantНетНет
CVE-2026-42891Microsoft Edge (Chromium-based) for Android Spoofing VulnerabilitySpoofing6.5ModerateНетНет
CVE-2026-41610Visual Studio Code Security Feature Bypass VulnerabilitySecurity Feature Bypass6.3ImportantНетНет
CVE-2026-40380Windows Volume Manager Extension Driver Remote Code Execution VulnerabilityRemote Code Execution6.2ImportantНетНет
CVE-2026-41614M365 Copilot for Desktop Spoofing VulnerabilitySpoofing6.2ImportantНетНет
CVE-2026-32185Microsoft Teams Spoofing VulnerabilitySpoofing5.5ImportantНетНет
CVE-2026-34339Windows Lightweight Directory Access Protocol (LDAP) Denial of Service VulnerabilityDenial of Service5.5ImportantНетНет
CVE-2026-35419Windows DWM Core Library Information Disclosure VulnerabilityInformation Disclosure5.5ImportantНетНет
CVE-2026-35440Microsoft Word Information Disclosure VulnerabilityInformation Disclosure5.5ImportantНетНет
CVE-2026-41612Visual Studio Code Information Disclosure VulnerabilityInformation Disclosure5.5ImportantНетНет
CVE-2026-35423Windows 11 Telnet Client Information Disclosure VulnerabilityInformation Disclosure5.4ImportantНетНет
CVE-2026-42838Microsoft Edge (Chromium-based) Elevation of Privilege VulnerabilityElevation of Privilege5.4ImportantНетНет
CVE-2026-32209Windows Filtering Platform (WFP) Security Feature Bypass VulnerabilitySecurity Feature Bypass4.4ImportantНетНет
CVE-2026-41100Microsoft 365 Copilot for Android Spoofing VulnerabilitySpoofing4.4ImportantНетНет
CVE-2026-32175.NET Core Tampering VulnerabilityTampering4.3ImportantНетНет
CVE-2026-35429Microsoft Edge (Chromium-based) for Android Spoofing VulnerabilitySpoofing4.3ModerateНетНет
CVE-2026-40416Microsoft Edge (Chromium-based) for Android Spoofing VulnerabilitySpoofing4.3LowНетНет
CVE-2026-40421Microsoft Word Information Disclosure VulnerabilityInformation Disclosure4.3ImportantНетНет

Ретроспективный анализ уязвимостей

  • CVE-2026-21250 — Windows HTTP.sys Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость связана с разыменованием недоверенного указателя (Untrusted Pointer Dereference) в системном драйвере ядра http.sys. Злоумышленник может отправить специально сформированный HTTP-пакет, содержащий бинарный payload в заголовках (например, в X-Trigger-Ptr), что при некорректной обработке драйвером позволяет локально повысить привилегии до уровня SYSTEM. Для успешной эксплуатации и обхода механизмов защиты (ASLR) могут применяться техники Heap Spraying и манипуляция состояниями соединений Keep-Alive. На Github опубликован PoC для данной уязвимости. Уязвимость была исправлена в феврале 2026 года.

  • CVE-2026-23671 — Windows Bluetooth RFCOMM Protocol Driver Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость в драйвере протокола Bluetooth RFCOMM, вызванная некорректной синхронизацией при доступе к разделяемым ресурсам (состояние гонки — race condition). Это приводит к ошибке типа Use-After-Free (использование памяти после освобождения), позволяя локальному авторизованному злоумышленнику выполнить произвольный код в режиме ядра. Успешная эксплуатация позволяет повысить привилегии до уровня SYSTEM, однако атака характеризуется высокой сложностью, так как требует точного соблюдения таймингов для «победы» в состоянии гонки. На Github опубликован PoC для данной уязвимости. Исправлена в марте 2026 года.

  • CVE-2026-24294 — Windows SMB Server Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость позволяет локальному пользователю повысить свои привилегии до уровня SYSTEM, используя механизм NTLM-отражения (reflection) и новую функцию подключения SMB на произвольных TCP-портах, представленную в Windows Server 2025 и Windows 11 24H2. Атака заключается в принуждении привилегированной службы (LSASS) к аутентификации на подконтрольном злоумышленнику SMB-сервере через нестандартный порт, что позволяет обойти классические механизмы защиты от Local NTLM Reflection и ретранслировать (relay) полученный токен на настоящий SMB-сервис (порт 445). Опубликованный PoC демонстрирует эксплуатацию с помощью модифицированных инструментов PetitPotam и Impacket. Уязвимость была исправлена в марте 2026 года.

  • CVE-2026-26128 — Windows SMB Server Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость позволяет локальному авторизованному злоумышленнику повысить свои привилегии до уровня SYSTEM через атаку Kerberos Reflection. Эксплуатация возможна благодаря обходу нормализации Unicode-символов при разрешении имен сервисов (SPN): из-за различий в функциях обработки строк в службе DNS-кэша и на контроллере домена злоумышленник может зарегистрировать поддельную DNS-запись и перенаправить трафик аутентификации на свой хост. На GitHub доступен PoC, позволяющий проводить атаку на службы AD CS и MSSQL. Уязвимость была исправлена в марте 2026 года.

  • CVE-2026-26168 — Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость типа «состояние гонки» (Race Condition) в драйвере ядра afd.sys, возникающая из-за некорректной синхронизации доступа к объектам соединений. В функции AfdAddConnectedReferenc` спин-блокировка освобождается до завершения инкремента счетчика ссылок объекта, что создает окно уязвимости для использования памяти после ее освобождения (Use-After-Free). Локальный злоумышленник, в том числе имеющий низкие привилегии в AppContainer, может эксплуатировать эту ошибку для повышения своих прав до уровня SYSTEM. Опубликованный PoC на языке Python демонстрирует механизм атаки через конкурентный вызов функций connect() и closesocket(), что приводит к повреждению пула памяти ядра и краху системы. Уязвимость была исправлена в апреле 2026 года.

  • CVE-2026-33101 — Windows Print Spooler Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость типа Use After Free (UAF) в функции OpenPrinterExW, возникающая при обработке структуры _SPLCLIENT_CONTAINER (Level 2). Из-за логической ошибки в случае сбоя функции RouterOpenPrinter` память контейнера освобождается, однако система безусловно выполняет запись дескриптора в освобожденный слот памяти. Это позволяет локальному злоумышленнику через манипуляции с кучей процесса spoolsv.exe получить права уровня SYSTEM. Согласно техническому анализу и доступному PoC, уязвимости подвержены системы Windows 11 24H2 до сборки 26100.8246. Уязвимость была исправлена в апреле 2026 года.

  • CVE-2026-32202 — Windows Shell Spoofing Vulnerability (Spoofing). Уязвимость заключается в сбое механизма защиты (CWE-693) при обработке структуры _IDCONTROLW внутри цепочки IDList в файлах-ярлыках (.LNK). Исследователи из Akamai реконструировали логику работы shell32.dll и представили PoC, который позволяет внедрить UNC-путь в поле ModulePath объекта Панели управления. При попытке Проводника (explorer.exe) отрисовать иконку такого ярлыка происходит автоматическое обращение к удаленному SMB-ресурсу, что приводит к раскрытию NTLM-хэша пользователя. Уязвимость тесно связана с CVE-2026-21510 и была исправлена в апреле 2026 года.

Вывод

Майское обновление 2026 года — это классический пример ситуации, когда отсутствие уже эксплуатируемых «нулевых дней» не должно создавать ложного чувства безопасности. Наличие 30 критических уязвимостей, включая бреши в Netlogon, DNS и Azure DevOps с максимальными рейтингами CVSS, делает этот месяц крайне напряженным для администраторов.

Приоритет установки обновлений в мае:

  1. Инфраструктура уровня Tier 0: Абсолютным приоритетом является установка обновлений на Контроллеры Домена (для закрытия RCE в Netlogon) и DNS-серверы/клиенты. Эксплуатация этих уязвимостей приведет к мгновенному падению всей корпоративной сети.
  2. Облачные платформы разработки: Владельцам инфраструктуры Azure DevOps необходимо в экстренном порядке убедиться в применении патчей (CVE-2026-42826, CVSS 10.0), так как утечка данных из сред разработки может скомпрометировать все исходные коды и токены компании.
  3. Серверы совместной работы: SharePoint Server остается излюбленной целью программ-вымогателей. Наличие такого количества RCE требует немедленного обновления веб-ферм, обращенных во внутреннюю и внешнюю сеть.
  4. Конечные точки пользователей: Обновление пакета Microsoft Office должно быть развернуто на рабочих станциях как можно быстрее для предотвращения проникновения злоумышленников через документы, присланные по электронной почте.

Важное дополнение: Особое внимание уделите разделу «Ретроспективный анализ уязвимостей». В мае на GitHub произошел массовый «слив» рабочих PoC-эксплойтов для уязвимостей, исправленных в феврале, марте и апреле (SMB Server, AFD.sys, Print Spooler, HTTP.sys). Это означает, что если ваша организация отстает от графика обновлений хотя бы на месяц, вы находитесь под прицелом автоматизированных инструментов взлома, доступных даже низкоквалифицированным злоумышленникам. Ликвидация технического долга по патчам сейчас критически важна.

Paranoid Security Анализ обновлений Microsoft Patch Tuesday – Апрель 2026 14 апреля
MS Patch Tuesday Анализ обновлений Microsoft Patch Tuesday – Апрель 2026
Paranoid Security Анализ обновлений Microsoft Patch Tuesday – Март 2026 10 марта
MS Patch Tuesday Анализ обновлений Microsoft Patch Tuesday – Март 2026
Paranoid Security Анализ обновлений Microsoft Patch Tuesday – Февраль 2026 10 февраля
MS Patch Tuesday Анализ обновлений Microsoft Patch Tuesday – Февраль 2026