Критические уязвимости в сетевой инфраструктуре и инфраструктуре идентификации Windows Server, а также серьезная брешь в локальной версии Microsoft Dynamics 365, стали главными в майском выпуске исправлений Microsoft Patch Tuesday.
Они входят в число 118 уязвимостей, выявленных компанией в этом месяце. Некоторые из них в облачных сервисах, таких как Azure и Microsoft Teams, уже устранены, поэтому административные действия не требуются.
Однако среди наиболее серьезных проблем, на которые CISO (руководителям по информационной безопасности) следует обратить внимание, — это еще одна брешь в службе Windows Netlogon, CVE-2026-41098, с оценкой CVSS 9.8. Для ее эксплуатации не требуется ни аутентификация, ни взаимодействие с пользователем.
Уязвимости Netlogon известны как минимум с 2020 года, когда была обнаружена уязвимость, получившая название Zerologon. В 2025 году Microsoft устранила уязвимость типа «отказ в обслуживании», при которой удаленный неаутентифицированный пользователь мог выполнить серию удаленных вызовов процедур на основе Netlogon, что могло привести к исчерпанию всей памяти на контроллере домена.
«Уязвимость Netlogon напрямую затрагивает контроллеры домена и инфраструктуру идентификации», — сообщил CSO Джек Бичер (Jack Bicer), директор по исследованиям уязвимостей в Action1, — «создавая риск компрометации на уровне домена, кражи учетных данных, развертывания программ-вымогателей и операционных сбоев».
Эта уязвимость может затронуть версии Windows Server вплоть до 2016 года.
Еще одна критическая уязвимость обнаружена в DNS Client Windows Server, CVE-2026-41096, также с оценкой CVSS 9.8. Она может позволить удаленное выполнение кода посредством специально сформированных DNS-ответов. Бичер отметил, что это создает потенциал для широкомасштабного компрометации конечных точек в корпоративных сетях.
«Хотя Microsoft в настоящее время оценивает вероятность эксплуатации как низкую», — сказал он, — «стратегическая важность служб DNS и Active Directory значительно повышает организационный риск, связанный с задержкой установки исправлений».
Крис Гёттль (Chris Goettl), вице-президент по управлению продуктами в Ivanti, заявил, что с точки зрения статического анализа эти две уязвимости «определенно выглядят как хорошая возможность для злоумышленников. Уязвимости в настоящее время не эксплуатируются и не раскрываются публично, но организации должны обеспечить своевременный приоритет обновлений ОС».
Он добавил: «Дополнительные уровни защиты посредством сегментации сети, ограничений доступа и мониторинга должны снизить подверженность риску в пределах предприятия. Тем не менее, эти уязвимости существуют. Среднее время до появления эксплойта N-го дня в настоящее время составляет около пяти дней. Организации могут выбрать приоритезацию критически важных частей своей инфраструктуры перед остальной, чтобы сократить это окно уязвимости в случае скорого появления эксплойта».
Серьезная брешь в Dynamics 365
Самой серьезной проблемой этого месяца, по словам Бичера, является CVE-2026-42898, затрагивающая Microsoft Dynamics 365 On Premises. Это уязвимость удаленного выполнения кода с оценкой CVSS 9.9, которая позволяет низкопривилегированному аутентифицированному злоумышленнику удаленно выполнять произвольный код посредством манипулирования данными сеанса процесса.
«Поскольку среды Dynamics 365 часто интегрируются с поставщиками идентификации, финансовыми системами и операционными бизнес-процессами, компрометация этих платформ может быстро распространиться на более широкий компрометации предприятия», — отметил Бичер. «Организации, управляющие инфраструктурой CRM, должны немедленно отдать приоритет устранению уязвимости, чтобы снизить риск операционных сбоев и несанкционированного доступа к конфиденциальным бизнес-записям».
Недостаток плагина SSO
Сатнам Наранг (Satnam Narang), старший инженер-исследователь в Tenable, обратил внимание на критическую уязвимость повышения привилегий в плагине единого входа (SSO) Microsoft для систем управления проектами Jira и совместной работы Confluence от Atlassian (CVE-2026-41103). Он пояснил, что во время процесса входа в систему злоумышленник может отправить специально сформированное ответное сообщение для использования этой уязвимости. Эксплуатация позволила бы злоумышленнику войти в систему под вымышленной учетной записью, без аутентификации через Microsoft Entra ID.
Это позволило бы злоумышленнику получить доступ или изменить данные в Jira или Confluence, которые он охарактеризовал как богатые источники конфиденциальной информации для многих организаций. Однако Наранг отметил, что доступная информация будет ограничена доступом, определенным целевыми серверами для авторизованного пользователя.
Тайлер Регули (Tyler Reguly), заместитель директора по исследованиям и разработкам в области безопасности в Fortra, отметил, что администраторы, отвечающие за Confluence и Jira, могут не совпадать с теми, кто отвечает за продукты Microsoft, поэтому пересечение этой уязвимости может привести к тому, что она будет полностью упущена из виду. Он посоветовал CISO держать свои команды в курсе по этому вопросу.
Критическое обновление без CVE
Рейн Бейкер (Rain Baker), старший специалист по реагированию на инциденты в команде ShadowScout при Nightwing, указал, что самое критическое обновление без номера CVE связано с обязательным развертыванием обновленных сертификатов Secure Boot. Устройства, которые не получат эти обновления до крайнего срока 26 июня, столкнутся с «катастрофическими сбоями безопасности на уровне загрузки» или ухудшением состояния безопасности, сказал он.
«Убедитесь, что весь ваш парк устройств успешно перешел на новые доверенные якоря до 26 июня», — сказал он. «Для тех, кто не установил исправления для прошломесячных выпусков, касающихся обхода уязвимостей в Windows Shell и Microsoft Defender, крайне важно, чтобы команды безопасности уделили им наивысший приоритет».
Патчи SAP и обновления Oracle
SAP выпустила две заметки HotNews, две заметки с высоким приоритетом и 12 заметок со средним приоритетом.
Одна из заметок HotNews — №3724838 (это также CVE-2026-34260 с оценкой CVSS 9.6). Она устраняет уязвимость SQL-инъекции в функции Enterprise Search для ABAP в SAP S/4HANA. Исследователи из Onapsis заявили, что из-за некорректной или отсутствующей проверки и очистки входных данных аутентифицированный злоумышленник может внедрять вредоносные SQL-запросы через контролируемый пользователем ввод, что имеет высокое влияние на конфиденциальность и доступность приложения. «К счастью», — отметили в Onapsis, — «затронутый исходный код разрешает только чтение данных, поэтому целостность не нарушается».
Тем не менее, Джонатан Стросс (Jonathan Stross), аналитик по безопасности SAP в Pathlock, заявил, что если вы используете Enterprise Search для ABAP, «это самая важная техническая уязвимость месяца. Она позволяет низкопривилегированному аутентифицированному злоумышленнику внедрять вредоносный SQL через контролируемый пользователем ввод, что потенциально может привести к раскрытию конфиденциальной информации базы данных и сбою приложения».
Он добавил, что для организаций, широко использующих S/4HANA в процессах, связанных с финансами, закупками, цепочками поставок или HR, это должно рассматриваться как срочный пункт для устранения.
Стросс отметил, что SAP заявляет об отсутствии обходных путей, поэтому устранение зависит от реализации указанных инструкций по исправлению или пакетов поддержки.
Другая заметка HotNews — №3733064 с оценкой CVSS 9.6, которая устраняет уязвимость отсутствия проверки подлинности в SAP Commerce Cloud. Onapsis сообщает, что уязвимость вызвана излишне разрешительной конфигурацией безопасности с неправильным порядком правил, что позволяет неаутентифицированному пользователю выполнять вредоносную загрузку конфигурации и внедрение кода, что приводит к произвольному выполнению кода на стороне сервера.
«Это один из пунктов с самым высоким бизнес-риском за этот месяц», — сказал Стросс, — «поскольку среды Commerce Cloud часто доступны за пределами внутренней корпоративной сети. Успешная эксплуатация может повлиять на доступность витрины, данные клиентов, потоки заказов, логику ценообразования, интеграции и доверие к платформе электронной коммерции».
Наконец, администраторам Oracle следует обратить внимание на то, что компания переходит на ежемесячный выпуск патчей безопасности. Первый выйдет 28 мая, что является четвертым четвергом месяца. Однако после этого патчи будут выходить в третью среду каждого месяца.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
