Корпорация Microsoft устранила около 140 недавно обнаруженных общих уязвимостей и подверженностей (CVE) в своем майском обновлении Patch Tuesday, однако впервые за долгое время последний ежемесячный выпуск не содержит уязвимостей нулевого дня, что означает, что ни одна из затронутых проблем не была активно использована или публично раскрыта. И хотя такое менее паническое обновление будет встречено с облегчением командами по безопасности по всему миру, майский выпуск Patch Tuesday 2026 года содержит почти 20 критических по степени серьезности уязвимостей, которые неминуемо привлекут внимание злоумышленников в ближайшие дни и недели. Джек Бицер, директор по исследованиям уязвимостей в Action1, заявил: «Хотя отсутствие уязвимостей нулевого дня является положительным знаком, большое количество критических уязвимостей — особенно по сравнению с последними месяцами — означает, что организациям все равно следует действовать быстро, чтобы оценить и развернуть обновления на затронутых системах». Обновление этого месяца также особенно важно, поскольку оно предвещает критический срок истечения срока действия сертификата Secure Boot 26 июня, то есть через несколько недель. Устройства, которые не получат обновленные сертификаты Secure Boot — которые сейчас развертываются — столкнутся с потенциально катастрофическими сбоями или еще не обнаруженными уязвимостями безопасности, которые может оказаться невозможно исправить. «Цикл обновлений мая 2026 года — это ответственный мост к сроку истечения срока действия сертификатов 26 июня, что делает ротацию доверенных якорей по всему парку абсолютным приоритетом месяца», — сказал Рейн Бейкер, старший специалист по реагированию на инциденты в команде ShadowScout от Nightwing. «Для тех, кто не установил исправления для апрельских выпусков, касающихся уязвимостей обхода в Windows Shell и Microsoft Defender, крайне важно, чтобы команды безопасности уделили им первоочередное внимание», — добавил Бейкер.
Множество ошибок
Среди критических обновлений, выпущенных в этом месяце, есть исправление для уязвимости удаленного выполнения кода (RCE) в клиенте DNS Windows, отслеживаемой как CVE-2026-41096. Эта уязвимость вызвана переполнением буфера в куче в Windows NetLogon и может позволить неаутентифицированному злоумышленнику захватить целевую систему, отправив ей вредоносный ответ DNS. «Поскольку DNS является основной сетевой службой, используемой в корпоративных средах, эксплуатация может быстро затронуть большое количество систем», — сказал Бицер из Action1. «Успешные атаки могут привести к широкомасштабному компрометации конечных точек, развертыванию программ-вымогателей, сбору учетных данных и нарушению работы корпоративных сетей». Бицер добавил: «Этот CVE требует немедленного внимания, учитывая его рейтинг серьезности, сетевой вектор атаки, отсутствие требований к аутентификации и отсутствие взаимодействия с пользователем. Уязвимости, связанные с DNS, особенно опасны, поскольку они нацелены на фундаментальные сетевые службы, которые широко распространены в корпоративной инфраструктуре». Также внимание привлекает CVE-2026-42898, еще одна проблема RCE, на этот раз в локальных версиях Microsoft Dynamics 365, которая имеет оценку по общей системе оценки уязвимостей (CVSS) 9,9. Опять же, эта проблема не требует взаимодействия с пользователем, и поскольку она может затронуть системы за пределами первоначальной области безопасности уязвимого компонента, она несет в себе крайний риск для предприятий. Предыдущие атаки на инфраструктуру Dynamics 365 приводили к раскрытию важной конфиденциальной информации, и поскольку среды CRM подключаются ко многим другим важным системам, успешная эксплуатация может привести к полному компрометации. Тем временем технический директор Automox Джейсон Кикта прокомментировал CVE-2026-41089, уязвимость RCE в Windows Netlogon, и CVE-2026-40402, уязвимость повышения привилегий (EoP) в Hyper-V. «CVE-2026-41089 — CVSS 9,8 из 10 — это переполнение буфера на основе стека в Windows Netlogon», — пояснил Кикта. «Злоумышленник отправляет специально сформированный сетевой запрос на контроллер домена. Аутентификация не требуется. Взаимодействие с пользователем не требуется. Если вы занимаетесь этим достаточно долго, описательный язык звучит, к сожалению, знакомо». «Я бы осторожно проводил прямую линию с Zerologon. Основная ошибка — это переполнение стека, а не ошибка криптографического протокола, и Microsoft не пометила эту как червеобразную. Механизм отличается, но радиус поражения все равно уродлив, когда речь идет о выполнении кода с предварительной аутентификацией на контроллере домена». Проблему Hyper-V можно использовать с помощью учетной записи с низкими привилегиями внутри гостевой виртуальной машины (ВМ) для выполнения кода на хосте с привилегиями уровня системы. Кикта предупредил, что одна скомпрометированная гостевая система может служить точкой поворота для всех остальных ВМ на том же хосте, а также для самой хостовой инфраструктуры. Среды размещенных рабочих столов и общие платформы виртуализации, вероятно, будут быстро атакованы. «Мультитенантная VDI, локальная виртуализация с недоверенными рабочими нагрузками или любой хост Hyper-V, на котором запущены гостевые системы, которые вы не полностью контролируете. Патч в течение той же недели, того же дня, в зависимости от того, что находится поверх», — посоветовал Кикта.
Апокалипсис патчей?
Несмотря на отсутствие уязвимостей нулевого дня, последнее серьезное обновление из Редмонда мало что сделает для ослабления опасений наблюдателей, встревоженных якобы разрушительными для мира возможностями обнаружения уязвимостей передовой моделью ИИ Claude Mythos от Anthropic. Крис Гёттль, вице-президент по управлению продуктами безопасности в Ivanti, заявил, что эти опасения серьезно воспринимаются многими ключевыми поставщиками программного обеспечения и другими технологическими компаниями, которые становятся все более агрессивными в установке исправлений в ответ на изменения последних нескольких недель. «Oracle объявила о новом цикле выпуска, начиная с мая 2026 года, чтобы справиться с ускорением обнаружения уязвимостей, вызванным Mythos и другими моделями безопасности ИИ; ежемесячные критические обновления безопасности (CSPU) заполнят двухмесячный промежуток между их ежеквартальными критическими обновлениями безопасности (CPU)», — сказал он. «Apple также является одним из первых участников Project Glasswing и недавно зафиксировала всплеск числа устраненных уязвимостей. Обычно они исправляют около 20 CVE на обновление безопасности iOS [но] в их последнем обновлении от 11 мая зафиксирован всплеск до 52 исправленных CVE. В одиннадцати обновлениях Apple количество CVE варьируется от 25 в меньшую сторону до 52 в большую, и Apple перенесла исправления вплоть до iPhone 6s и iOS 15. Хотя активно используемых уязвимостей нет, есть много обновлений, которыми нужно управлять». Тем временем Mozilla, разработчик браузера Firefox, в котором, по слухам, было выявлено более 270 уязвимостей после применения Claude Mythos, также перешла на более агрессивный еженедельный цикл обновлений безопасности с момента выпуска Firefox 150.0.0 в апреле 2026 года — версия Firefox 150.0.3 вышла сегодня (12 мая).
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton
