Microsoft в майском Patch Tuesday 2026 закрыла 138 уязвимостей в Windows и облачных сервисах, включая критические ошибки в Windows DNS, Netlogon, Azure, Dynamics 365 и Entra ID, одновременно объявив о принудительной ротации сертификатов Secure Boot до 26 июня 2026 года; организациям с доменными средами, CRM на базе Dynamics и активным использованием Azure необходимо немедленно спланировать приоритизированное обновление, иначе риск удалённого выполнения кода и нарушения загрузки систем будет расти быстрее, чем способность команд сопровождать патчи.

Технические детали майского релиза Microsoft

По данным официального бюллетеня Microsoft Security Response Center, в майском релизе закрыто 138 уязвимостей: 30 критических, 104 важных, 3 умеренной и 1 низкой опасности. По типам преобладают эскалация привилегий (61 баг), далее идут удалённое выполнение кода (32), раскрытие информации (15), подделка (14), отказ в обслуживании (8), обход средств защиты (6) и подмена данных (2).

Критическая RCE в Windows DNS: CVE-2026-41096

Одна из самых опасных проблем — CVE-2026-41096 (CVSS 9.8), переполнение кучи в компоненте Windows DNS. Уязвимый DNS‑клиент ошибочно обрабатывает специальным образом сформированный DNS‑ответ, что приводит к повреждению памяти и может позволить удалённому злоумышленнику выполнить произвольный код без аутентификации по сети. Подробности доступны в записи MSRC по CVE-2026-41096.

Критичность здесь не только в высокой оценке CVSS: DNS‑клиент — базовый сетевой компонент, присутствующий практически на каждом хосте. Специально подготовленный ответ может поступить как от скомпрометированного или злонамеренного DNS‑сервера, так и через атаки на уровень сети (подмена трафика, злоупотребление внутренними резолверами). Это типичная точка входа для первоначального компромета организации.

Netlogon под ударом: CVE-2026-41089

CVE-2026-41089 (CVSS 9.8) — переполнение стека в Windows Netlogon. Согласно описанию MSRC, неаутентифицированный злоумышленник может отправить специально сформированный сетевой запрос на сервер Windows, выступающий контроллером домена, и добиться удалённого выполнения кода без предварительного доступа и входа в систему.

Здесь атакуемый сервис расположен на доменных контроллерах — наибольшей ценности точке в инфраструктуре. Успешная эксплуатация означает потенциальный полный захват домена с последующим движением по сети, внедрением в Kerberos/Entra, контролем над групповой политикой и средствами развертывания ПО.

Облачный периметр: Azure, Entra, Teams, Logic Apps, Cloud Shell

Ряд критических уязвимостей напрямую затрагивает облачные сервисы и идентификацию:

• CVE-2026-42826 (CVSS 10.0) — раскрытие чувствительной информации в Azure DevOps. Уязвимость позволяет неавторизованному атакующему получать данные по сети. Microsoft пометила её как проблему, для устранения которой дополнительных действий клиента не требуется, см. описание MSRC.
• CVE-2026-33109 (CVSS 9.9) и CVE-2026-33844 (CVSS 9.0) — ошибки контроля доступа и проверки входных данных в Azure Managed Instance for Apache Cassandra, позволяющие авторизованному атакующему удалённо выполнять код. Отмечены как не требующие действий клиента, см. CVE-2026-33109 и CVE-2026-33844.
• CVE-2026-42823 (CVSS 9.9) — некорректный контроль доступа в Azure Logic Apps, позволяющий авторизованному пользователю повысить привилегии по сети.
• CVE-2026-33823 (CVSS 9.6) — ошибка авторизации в Microsoft Teams, раскрытие информации для авторизованного атакующего.
• CVE-2026-35428 (CVSS 9.6) — внедрение команд в Azure Cloud Shell, позволяющее неавторизованному злоумышленнику осуществлять подделку по сети.
• CVE-2026-40379 (CVSS 9.3) — раскрытие конфиденциальной информации и подделка в Azure Entra ID.
• CVE-2026-33117 (CVSS 9.1) — обход аутентификации в Azure SDK, дающий неавторизованному атакующему возможность обойти защитный механизм по сети.

Хотя по ряду облачных сервисов Microsoft явно заявляет «no customer action», это не отменяет необходимости пересмотра архитектуры доверия: уязвимости касаются конфиденциальности артефактов разработки, секретов, данных идентификации и служебных токенов, которые в случае утечки могут быть использованы за пределами непосредственно уязвимого компонента.

Бизнес‑критичные приложения: Dynamics 365 и SSO для Jira/Confluence

CVE-2026-42898 (CVSS 9.9) — внедрение кода в Microsoft Dynamics 365 (on-premises). По оценке исследователей, уязвимость позволяет авторизованному злоумышленнику с низкими привилегиями удалённо выполнять произвольный код за счёт манипуляций с сессионными данными процессов Dynamics CRM. Компрометация такого сервера фактически превращает бизнес‑приложение в платформу удалённого запуска кода, потенциально выходящую за исходные границы доверия.

CVE-2026-42833 (CVSS 9.1) затрагивает тот же продукт: выполнение с избыточными привилегиями даёт авторизованному атакующему возможность выполнять код по сети и взаимодействовать с приложениями и данными других арендаторов.

Отдельного внимания заслуживает CVE-2026-41103 (CVSS 9.1) в Microsoft SSO Plugin for Jira & Confluence. Из‑за неверной реализации алгоритма аутентификации неавторизованный атакующий может подделать учётные данные и войти в Jira/Confluence как легитимный пользователь с полным объёмом его прав. Подробнее — в записи MSRC по CVE-2026-41103.

Гипервизор и клиентские компоненты: Hyper-V и другие

CVE-2026-40402 (CVSS 9.3) — уязвимость типа use-after-free в Windows Hyper-V, позволяющая неавторизованному атакующему получить привилегии уровня SYSTEM и доступ к окружению хоста. Для инфраструктур с высокой плотностью виртуализации это прямой риск побега из виртуальной машины.

Дополнительно Microsoft указывает, что в релиз также входят исправления для браузера Edge, основанные на 127 уязвимостях в Chromium, описанных в документации по безопасности Microsoft Edge (release notes по безопасности Edge).

Аппаратный уровень: AMD Zen 2 (CVE-2025-54518)

В список обновлений включена уязвимость CVE-2025-54518 (CVSS 7.3), ранее исправленная AMD. Согласно бюллетеню AMD-SB-7052, на процессорах Zen 2 некорректная изоляция общих ресурсов кэша операций может позволить злоумышленнику повлиять на исполняемые инструкции на другом уровне привилегий, что потенциально ведёт к повышению привилегий. На практике это означает необходимость синхронизированного обновления микрокода/прошивки со стороны вендора оборудования и программных патчей со стороны Microsoft.

ИИ‑ускорение поиска уязвимостей: система MDASH

По данным Microsoft, за первые пять месяцев 2026 года уже исправлено более 500 CVE. В отдельном отчёте компания указывает, что значимая доля новых уязвимостей находится с помощью систем на основе искусственного интеллекта. В частности, 16 ошибок в сетевом и аутентификационном стеке Windows в этом месяце были обнаружены новой мульти‑модельной агентной системой MDASH (multi-model agentic scanning harness), описанной в блоге Microsoft Security (подробности о MDASH).

В сопроводительной заметке MSRC о майском Patch Tuesday подчёркивается, что в этом выпуске доля уязвимостей, найденных самой Microsoft, выше обычного, во многом благодаря использованию MDASH и связанных с ним процессов анализа. Следствие этого — ускорение темпа появления патчей, особенно в сетевом и аутентификационном стеке, и рост операционной нагрузки на команды, отвечающие за обновления.

Оценка воздействия на инфраструктуру

Наибольшему риску подвержены организации со следующими характеристиками:

• Широко используемый Active Directory с собственными DNS‑серверами и доменными контроллерами: комбинация CVE-2026-41096 и CVE-2026-41089 создаёт цепочку от первичного входа (через DNS‑клиент) до полного захвата домена (через Netlogon).
• Эксплуатация Dynamics 365 (on-premises) как центрового CRM/ERP‑звена: успешная атака по CVE-2026-42898 и CVE-2026-42833 означает риск утечки клиентских данных, бизнес‑процессов, финансовой информации и последующей компрометации интегрированных систем (identity‑сервисы, базы данных, внешние приложения).
• Активное использование Azure DevOps, Logic Apps, Managed Cassandra, Teams, Cloud Shell, Entra ID: здесь речь идёт о конфиденциальности артефактов разработки, токенов доступа и метаданных идентификации. Даже при отсутствии необходимости действий со стороны клиента важно оценить модель угроз: компрометация служебных данных может быть использована за пределами текущего инцидента.
• Организации, опирающиеся на SSO в Jira/Confluence через плагин Microsoft: уязвимость CVE-2026-41103 фактически позволяет обойти уровень аутентификации и использовать Jira/Confluence как плацдарм для движения по цепочкам задач, конфигурационным репозиториям и документам.
• Инфраструктуры виртуализации на базе Hyper-V: CVE-2026-40402 напрямую затрагивает границу «гость–хост» и поднимает вопрос сегментации рабочих нагрузок с разным уровнем критичности.
• Организации с парком систем, использующих Secure Boot с корневыми сертификатами 2011 года: по словам специалистов, отсутствие обновления сертификатов к 26 июня 2026 года грозит «катастрофическими сбоями на уровне загрузки» или переходом в пониженный режим безопасности.
• Эксплуатация аппаратной платформы AMD Zen 2 в средах с жёсткими требованиями к изоляции (многопользовательские системы, облака, хостинг): уязвимость CVE-2025-54518 снижает гарантию разграничения привилегий на уровне процессора.

Если эти проблемы не устранить, организация сталкивается с риском:

• удалённого проникновения с нулевого периметра (DNS, Netlogon);
• компрометации цепочек поставки и DevOps‑конвейеров (Azure DevOps, Logic Apps, Cloud Shell);
• масштабных утечек клиентских и финансовых данных (Dynamics 365, Entra ID, Teams);
• подрыва доверия к средствам загрузки и целостности платформы (Secure Boot, AMD Zen 2);
• существенного увеличения нагрузки на команды эксплуатации из‑за ускорения цикла «обнаружение–патч», обусловленного использованием систем искусственного интеллекта.

Практические рекомендации по реагированию

Приоритизация обновлений

С учётом сетевой доступности и последствий эксплуатации разумно выстроить такой порядок работ:

1. Немедленно обновить все поддерживаемые версии Windows, особенно:
   • хосты, играющие роль DNS‑клиентов/серверов (CVE-2026-41096);
   • все контроллеры домена Active Directory (CVE-2026-41089);
   • Hyper-V‑хосты (CVE-2026-40402).
2. Развернуть обновления для Dynamics 365 (on-premises), устраняющие CVE-2026-42898 и CVE-2026-42833, с предварительным тестированием на стенде из‑за высокой интеграции CRM с внешними системами.
3. Обновить или переустановить Microsoft SSO Plugin for Jira & Confluence, включающий исправление CVE-2026-41103, и провести анализ журналов на предмет подозрительной активности входов.
4. Проверить статус обновлений в Azure:
   • убедиться, что подписки и ресурсы не заблокированы от автоматического применения обновлений для Azure DevOps, Logic Apps, Managed Cassandra, Teams, Cloud Shell и Entra ID;
   • пересмотреть права сервисных учётных записей и токенов, даже если «действий клиента не требуется».
5. Организовать обновление браузера Microsoft Edge до последней версии, чтобы включить исправления 127 уязвимостей Chromium, перечисленных в документации по безопасности Edge.
6. Согласовать с вендорами оборудования установку микрокода для AMD Zen 2 в соответствии с бюллетенем AMD-SB-7052 и убедиться, что операционная система использует обновлённый микрокод.

Ротация сертификатов Secure Boot

К 26 июня 2026 года организации должны:

• идентифицировать все устройства, полагающиеся на сертификаты Secure Boot образца 2011 года (через инвентаризацию BIOS/UEFI и политик загрузки Windows);
• развернуть обновления Windows, включающие новые сертификаты 2023 года, как описано в заметке MSRC об этом релизе (комментарий Microsoft к Patch Tuesday);
• при необходимости обновить прошивки UEFI на серверах и рабочих станциях, если вендор выпускает отдельные пакеты ротации ключей;
• протестировать сценарии загрузки на контрольной группе различных моделей устройств до массового развёртывания, чтобы минимизировать риск неработоспособности.

Обнаружение подверженных систем и укрепление конфигурации

Для оценки подверженности и снижения поверхности атаки:

• использовать системы управления обновлениями (WSUS, Microsoft Endpoint Configuration Manager и аналоги) для построения отчётов по состоянию майских патчей на:
  • контроллерах домена;
  • Hyper-V‑хостах;
  • серверов с установленным Dynamics 365 (on-premises);
  • хостах с установленным плагином SSO для Jira/Confluence.
• ограничить сетевую доступность служб Netlogon и DNS‑сервера только необходимыми сегментами (межсетевые экраны, списки контроля доступа).
• пересмотреть настройки Entra ID и связанных с ним приложений:
  • отключить устаревшие методы аутентификации;
  • включить многофакторную аутентификацию для всех административных и высокорисковых учётных записей;
  • пересмотреть делегированные разрешения для приложений и сервисных идентификаторов.
• усилить сегментацию виртуальных машин на Hyper-V, разделяя критичные и некритичные нагрузки, и ограничить доступ к управлению гипервизором.

Наконец, с учётом роста объёма патчей, связанных с применением систем искусственного интеллекта вроде MDASH, имеет смысл формализовать каденцию обновлений по степени воздействия и экспозиции, а не по количеству исправляемых CVE: в первую очередь обновлять системы, доступные из сети без аутентификации (DNS, Netlogon, Hyper-V, интернет‑экспонированные Azure‑сервисы) и узлы с наибольшей концентрацией ценных данных (Dynamics 365, Entra ID), параллельно планируя ротацию сертификатов Secure Boot до наступления жёсткого дедлайна 26 июня 2026 года.