Microsoft Patch Tuesday – vydání 20: 120 záplat bez aktivně zneužívaných zero-day, kritická chyba v Dynamics 365
Květnové Patch Tuesday přineslo opravy pro 120 zranitelností a poprvé po téměř dvou letech mezi nimi nebyl žádný aktivně zneužívaný zero-day. Z hlediska závažnosti je ale balík bohatý: sedmnáct chyb je hodnocených jako kritických a celkově je v sadě 29 chyb umožňujících vzdálené spuštění kódu.
Microsoft v noci na úterý 13. května uvolnil pravidelnou měsíční sadu bezpečnostních aktualizací. Pokrývá Windows, Office, Azure, Microsoft 365 aplikace, vývojářské nástroje i řadu serverových komponent. Po sérii Patch Tuesdays, kdy se objevoval nejméně jeden aktivně zneužívaný zero-day, je květnové vydání výjimečné tím, že žádnou veřejně známou ani aktivně využívanou chybu neobsahuje. To by se ale nemělo plést s „klidným" měsícem – závažnost jednotlivých záplat je vysoká a několik z nich si zaslouží okamžitou pozornost správců infrastruktury.
Nejvážnější chybou v balíku je CVE-2026-42898 v Microsoft Dynamics 365 (on-premises) s CVSS 9,9. Jde o RCE způsobenou nedostatečnou kontrolou generování kódu, která útočníkovi s autorizací umožňuje vzdáleně spustit kód v kontextu aplikace. Vzhledem k tomu, že Dynamics 365 typicky drží data finančních a obchodních procesů, organizace, které mají on-premises instalaci, by měly aktualizaci aplikovat přednostně. Cloudové prostředí Dynamics 365 záplatu spravuje Microsoft sám.
Druhý okruh kritických oprav cílí na síťové komponenty Windows. CVE-2026-41089 v Netlogonu (stack-based buffer overflow, CVSS 9,8) a CVE-2026-41096 v Windows DNS Client (heap-based buffer overflow, CVSS 9,8) jsou obě RCE chyby, které lze zneužít po síti. U Netlogonu má RCE vážné implikace pro doménová prostředí, protože služba zajišťuje autentizační kanál mezi pracovními stanicemi a doménovým řadičem. U DNS klienta lze útok řetězit přes podstrčené odpovědi na DNS dotaz, což je technicky méně přímočaré, ale o to záludnější v prostředích, kde si organizace neudržuje plnou kontrolu nad rekurzivními resolvery.
Třetí výraznou skupinou jsou RCE chyby v Microsoft Office, Wordu a Excelu, které lze zneužít otevřením připraveného souboru. Standardní obrannou linií zůstává Protected View pro dokumenty z internetu a omezení maker, ale několik chyb cílí na komponenty, které se vyhodnocují ještě před zobrazením náhledu v Outlook Preview Pane. To pro organizace s vysokým podílem e-mailové komunikace znamená, že aktualizovat klientské stanice je naléhavé i přesto, že uživatelům formálně zakazujete otvírat přílohy z neověřených zdrojů.
Mimo kritických položek balík obsahuje 14 dalších RCE chyb, dvě eskalace oprávnění hodnocené jako kritické a jednu vážnější chybu zveřejnění informací. Plný seznam s CVSS skóre a postiženými produkty zveřejnil Microsoft v MSRC katalogu. Doporučená priorita: nejprve Dynamics 365 on-prem (CVE-2026-42898), poté doménové řadiče a stanice připojené do domény (CVE-2026-41089), souběžně Office balík a DNS klienta, poté ostatní serverové komponenty podle vlastní expozice.
Pro plánovače Patch Tuesday je informace o „nulových zero-day" lákavá k odložení nasazení o pár dní – tak velký balík se těžko testuje rychle. Z pohledu reálné expozice je ale rozumné držet se obvyklé čtrnáctidenní lhůty: i bez aktivně zneužívaných zero-day se RCE s CVSS přes 9 typicky stávají cílem reverse engineeringu během několika dnů od vydání záplat, jak ukazují historická data o vzniku exploitů po veřejných opravách.
Další články
Nové zranitelnosti v katalogu CISA KEV – vydání 24
Malware ovládá tisíce webů přes Steam, Gemini se nechá oklamat a balíčky Red Hatu kradou vývojářům přihlašovací údaje
