Microsoft у травневому Patch Tuesday 2026 закрила 138 вразливостей у Windows та хмарних сервісах, зокрема критичні помилки у Windows DNS, Netlogon, Azure, Dynamics 365 та Entra ID, одночасно оголосивши про примусову ротацію сертифікатів Secure Boot до 26 червня 2026 року; організаціям з доменними середовищами, CRM на базі Dynamics та активним використанням Azure необхідно негайно спланувати пріоритизоване оновлення, інакше ризик віддаленого виконання коду та порушення завантаження систем зростатиме швидше, ніж здатність команд супроводжувати патчі.

Технічні деталі травневого релізу Microsoft

За даними офіційного бюлетеня Microsoft Security Response Center, у травневому релізі закрито 138 вразливостей: 30 критичних, 104 важливих, 3 помірної та 1 низької небезпеки. За типами переважають ескалація привілеїв (61 помилка), далі йдуть віддалене виконання коду (32), розкриття інформації (15), підробка (14), відмова в обслуговуванні (8), обхід засобів захисту (6) та підміна даних (2).

Критична RCE у Windows DNS: CVE-2026-41096

Одна з найнебезпечніших проблем — CVE-2026-41096 (CVSS 9.8), переповнення купи в компоненті Windows DNS. Уразливий DNS‑клієнт помилково обробляє спеціальним чином сформовану DNS‑відповідь, що призводить до пошкодження пам’яті та може дозволити віддаленому зловмиснику виконати довільний код без автентифікації по мережі. Подробиці доступні у записі MSRC щодо CVE-2026-41096.

Критичність тут не лише у високій оцінці CVSS: DNS‑клієнт — базовий мережевий компонент, присутній практично на кожному хості. Спеціально підготовлена відповідь може надходити як від скомпрометованого або зловмисного DNS‑сервера, так і через атаки на рівні мережі (підміна трафіку, зловживання внутрішніми резольверами). Це типова точка входу для початкової компрометації організації.

Netlogon під ударом: CVE-2026-41089

CVE-2026-41089 (CVSS 9.8) — переповнення стека в Windows Netlogon. Згідно з описом MSRC, неавтентифікований зловмисник може надіслати спеціально сформований мережевий запит на сервер Windows, що виступає контролером домену, і досягти віддаленого виконання коду без попереднього доступу та входу в систему.

Тут атакований сервіс розташований на контролерах домену — найціннішій точці в інфраструктурі. Успішна експлуатація означає потенційне повне захоплення домену з подальшим переміщенням мережею, впровадженням у Kerberos/Entra, контролем над груповою політикою та засобами розгортання ПЗ.

Хмарний периметр: Azure, Entra, Teams, Logic Apps, Cloud Shell

Низка критичних вразливостей безпосередньо зачіпає хмарні сервіси та ідентифікацію:

• CVE-2026-42826 (CVSS 10.0) — розкриття чутливої інформації в Azure DevOps. Вразливість дозволяє неавторизованому зловмиснику отримувати дані по мережі. Microsoft позначила її як проблему, для усунення якої додаткових дій клієнта не потрібно, див. опис MSRC.
• CVE-2026-33109 (CVSS 9.9) та CVE-2026-33844 (CVSS 9.0) — помилки контролю доступу та перевірки вхідних даних в Azure Managed Instance for Apache Cassandra, що дозволяють авторизованому зловмиснику віддалено виконувати код. Позначені як такі, що не потребують дій клієнта, див. CVE-2026-33109 та CVE-2026-33844.
• CVE-2026-42823 (CVSS 9.9) — некоректний контроль доступу в Azure Logic Apps, що дозволяє авторизованому користувачу підвищити привілеї по мережі.
• CVE-2026-33823 (CVSS 9.6) — помилка авторизації в Microsoft Teams, розкриття інформації для авторизованого зловмисника.
• CVE-2026-35428 (CVSS 9.6) — впровадження команд в Azure Cloud Shell, що дозволяє неавторизованому зловмиснику здійснювати підробку по мережі.
• CVE-2026-40379 (CVSS 9.3) — розкриття конфіденційної інформації та підробка в Azure Entra ID.
• CVE-2026-33117 (CVSS 9.1) — обхід автентифікації в Azure SDK, що дає неавторизованому зловмиснику змогу обійти захисний механізм по мережі.

Хоча щодо низки хмарних сервісів Microsoft прямо заявляє «no customer action», це не скасовує необхідності перегляду архітектури довіри: вразливості стосуються конфіденційності артефактів розробки, секретів, даних ідентифікації та службових токенів, які у разі витоку можуть бути використані за межами безпосередньо вразливого компонента.

Бізнес‑критичні застосунки: Dynamics 365 та SSO для Jira/Confluence

CVE-2026-42898 (CVSS 9.9) — впровадження коду в Microsoft Dynamics 365 (on-premises). За оцінкою дослідників, вразливість дозволяє авторизованому зловмиснику з низькими привілеями віддалено виконувати довільний код за рахунок маніпуляцій із сесійними даними процесів Dynamics CRM. Компрометація такого сервера фактично перетворює бізнес‑застосунок на платформу віддаленого запуску коду, що потенційно виходить за початкові межі довіри.

CVE-2026-42833 (CVSS 9.1) зачіпає той самий продукт: виконання із надмірними привілеями дає авторизованому зловмиснику можливість виконувати код по мережі та взаємодіяти із застосунками й даними інших орендарів.

Окремої уваги заслуговує CVE-2026-41103 (CVSS 9.1) у Microsoft SSO Plugin for Jira & Confluence. Через некоректну реалізацію алгоритму автентифікації неавторизований зловмисник може підробити облікові дані та увійти до Jira/Confluence як легітимний користувач з повним обсягом його прав. Докладніше — у записі MSRC щодо CVE-2026-41103.

Гіпервізор і клієнтські компоненти: Hyper-V та інші

CVE-2026-40402 (CVSS 9.3) — вразливість типу use-after-free в Windows Hyper-V, що дозволяє неавторизованому зловмиснику отримати привілеї рівня SYSTEM та доступ до середовища хоста. Для інфраструктур із високою щільністю віртуалізації це прямий ризик втечі з віртуальної машини.

Додатково Microsoft зазначає, що до релізу також входять виправлення для браузера Edge, засновані на 127 вразливостях у Chromium, описаних у документації з безпеки Microsoft Edge (release notes з безпеки Edge).

Апаратний рівень: AMD Zen 2 (CVE-2025-54518)

До списку оновлень включено вразливість CVE-2025-54518 (CVSS 7.3), раніше виправлену AMD. Згідно з бюлетенем AMD-SB-7052, на процесорах Zen 2 некоректна ізоляція спільних ресурсів кешу операцій може дозволити зловмиснику вплинути на виконувані інструкції на іншому рівні привілеїв, що потенційно веде до підвищення привілеїв. На практиці це означає необхідність синхронізованого оновлення мікрокоду/прошивки з боку вендора обладнання та програмних патчів з боку Microsoft.

AI‑прискорення пошуку вразливостей: система MDASH

За даними Microsoft, за перші п’ять місяців 2026 року вже виправлено понад 500 CVE. В окремому звіті компанія зазначає, що значна частина нових вразливостей знаходиться за допомогою систем на основі штучного інтелекту. Зокрема, 16 помилок у мережевому та автентифікаційному стеку Windows цього місяця були виявлені новою мульти-модальною агентною системою MDASH (multi-model agentic scanning harness), описаною в блозі Microsoft Security (подробиці про MDASH).

У супровідній нотатці MSRC про травневий Patch Tuesday підкреслюється, що в цьому випуску частка вразливостей, знайдених самою Microsoft, вища зазвичай, значною мірою завдяки використанню MDASH та пов’язаних із ним процесів аналізу. Наслідок цього — прискорення темпу появи патчів, особливо в мережевому та автентифікаційному стеку, і зростання операційного навантаження на команди, що відповідають за оновлення.

Оцінка впливу на інфраструктуру

Найбільшого ризику зазнають організації з такими характеристиками:

• Широко використовуваний Active Directory із власними DNS‑серверами та контролерами домену: комбінація CVE-2026-41096 та CVE-2026-41089 створює ланцюжок від первинного входу (через DNS‑клієнт) до повного захоплення домену (через Netlogon).
• Експлуатація Dynamics 365 (on-premises) як центральної CRM/ERP‑ланки: успішна атака за CVE-2026-42898 та CVE-2026-42833 означає ризик витоку клієнтських даних, бізнес‑процесів, фінансової інформації та подальшої компрометації інтегрованих систем (identity‑сервіси, бази даних, зовнішні застосунки).
• Активне використання Azure DevOps, Logic Apps, Managed Cassandra, Teams, Cloud Shell, Entra ID: тут ідеться про конфіденційність артефактів розробки, токенів доступу та метаданих ідентифікації. Навіть за відсутності необхідності дій з боку клієнта важливо оцінити модель загроз: компрометація службових даних може бути використана за межами поточного інциденту.
• Організації, що спираються на SSO у Jira/Confluence через плагін Microsoft: вразливість CVE-2026-41103 фактично дозволяє обійти рівень автентифікації та використовувати Jira/Confluence як плацдарм для руху по ланцюжках завдань, конфігураційним репозиторіям і документам.
• Інфраструктури віртуалізації на базі Hyper-V: CVE-2026-40402 безпосередньо зачіпає межу «гість–хост» і порушує питання сегментації робочих навантажень з різним рівнем критичності.
• Організації з парком систем, що використовують Secure Boot із кореневими сертифікатами 2011 року: за словами фахівців, відсутність оновлення сертифікатів до 26 червня 2026 року загрожує «катастрофічними збоями на рівні завантаження» або переходом у знижений режим безпеки.
• Експлуатація апаратної платформи AMD Zen 2 у середовищах із жорсткими вимогами до ізоляції (багатокористувацькі системи, хмари, хостинг): вразливість CVE-2025-54518 знижує гарантію розмежування привілеїв на рівні процесора.

Якщо ці проблеми не усунути, організація стикається з ризиком:

• віддаленого проникнення з нульового периметра (DNS, Netlogon);
• компрометації ланцюгів постачання та DevOps конвеєрів (Azure DevOps, Logic Apps, Cloud Shell);
• масштабних витоків клієнтських і фінансових даних (Dynamics 365, Entra ID, Teams);
• підриву довіри до засобів завантаження та цілісності платформи (Secure Boot, AMD Zen 2);
• суттєвого збільшення навантаження на команди експлуатації через прискорення циклу «виявлення–патч», зумовленого використанням систем штучного інтелекту.

Практичні рекомендації щодо реагування

Пріоритизація оновлень

З огляду на мережеву доступність та наслідки експлуатації доцільно вибудувати такий порядок робіт:

1. Негайно оновити всі підтримувані версії Windows, особливо:
   • хости, що виконують роль DNS‑клієнтів/серверів (CVE-2026-41096);
   • усі контролери домену Active Directory (CVE-2026-41089);
   • Hyper-V хости (CVE-2026-40402).
2. Розгорнути оновлення для Dynamics 365 (on-premises), які усувають CVE-2026-42898 та CVE-2026-42833, із попереднім тестуванням на стенді через високу інтеграцію CRM із зовнішніми системами.
3. Оновити або перевстановити Microsoft SSO Plugin for Jira & Confluence, що містить виправлення CVE-2026-41103, і провести аналіз журналів на предмет підозрілої активності входів.
4. Перевірити статус оновлень в Azure:
   • переконатися, що підписки та ресурси не заблоковані від автоматичного застосування оновлень для Azure DevOps, Logic Apps, Managed Cassandra, Teams, Cloud Shell та Entra ID;
   • переглянути права сервісних облікових записів і токенів, навіть якщо «дій клієнта не потрібно».
5. Організувати оновлення браузера Microsoft Edge до останньої версії, щоб включити виправлення 127 вразливостей Chromium, перелічених у документації з безпеки Edge.
6. Узгодити з вендорами обладнання встановлення мікрокоду для AMD Zen 2 відповідно до бюлетеня AMD-SB-7052 і переконатися, що операційна система використовує оновлений мікрокод.

Ротація сертифікатів Secure Boot

До 26 червня 2026 року організації мають:

• ідентифікувати всі пристрої, що покладаються на сертифікати Secure Boot зразка 2011 року (через інвентаризацію BIOS/UEFI та політик завантаження Windows);
• розгорнути оновлення Windows, які включають нові сертифікати 2023 року, як описано у нотатці MSRC про цей реліз (коментар Microsoft до Patch Tuesday);
• за потреби оновити прошивки UEFI на серверах і робочих станціях, якщо вендор випускає окремі пакети ротації ключів;
• протестувати сценарії завантаження на контрольній групі різних моделей пристроїв до масового розгортання, щоб мінімізувати ризик непрацездатності.

Виявлення вразливих систем і зміцнення конфігурації

Для оцінки вразливості та зменшення поверхні атаки:

• використовувати системи керування оновленнями (WSUS, Microsoft Endpoint Configuration Manager та аналоги) для побудови звітів щодо стану травневих патчів на:
  • контролерах домену;
  • Hyper-V хостах;
  • серверах із встановленим Dynamics 365 (on-premises);
  • хостах із встановленим плагіном SSO для Jira/Confluence.
• обмежити мережеву доступність служб Netlogon та DNS‑сервера лише необхідними сегментами (міжмережеві екрани, списки контролю доступу).
• переглянути налаштування Entra ID та пов’язаних із ним застосунків:
  • вимкнути застарілі методи автентифікації;
  • увімкнути багатофакторну автентифікацію для всіх адміністративних і високоризикових облікових записів;
  • переглянути делеговані дозволи для застосунків і сервісних ідентифікаторів.
• посилити сегментацію віртуальних машин на Hyper-V, розділяючи критичні та некритичні навантаження, і обмежити доступ до керування гіпервізором.

Насамкінець, з огляду на зростання обсягу патчів, пов’язаних із застосуванням систем штучного інтелекту на кшталт MDASH, має сенс формалізувати каденцію оновлень за ступенем впливу та експозиції, а не за кількістю виправлених CVE: у першу чергу оновлювати системи, доступні з мережі без автентифікації (DNS, Netlogon, Hyper-V, інтернет‑експоновані Azure‑сервіси) та вузли з найбільшою концентрацією цінних даних (Dynamics 365, Entra ID), паралельно плануючи ротацію сертифікатів Secure Boot до настання жорсткого дедлайну 26 червня 2026 року.