Microsoft публикува May 2026 Patch Tuesday обновленията с корекции за 120 уязвимости, включително 17 критични проблема, но без официално потвърдени zero-day експлойти към момента на публикуването.
Въпреки липсата на активно експлоатирани zero-day уязвимости, пакетът съдържа множество критични remote code execution (RCE) проблеми, засягащи Windows, Microsoft Office, SharePoint, DNS клиента и други ключови компоненти от екосистемата на Microsoft.
17 критични уязвимости в May 2026 Patch Tuesday
От всички поправени проблеми:
- 61 са elevation of privilege уязвимости;
- 31 са remote code execution;
- 14 са information disclosure;
- 13 са spoofing;
- 8 са denial of service;
- 6 са security feature bypass.
Microsoft определя 17 от тях като Critical, включително:
- 14 remote code execution;
- 2 elevation of privilege;
- 1 information disclosure уязвимост.
Microsoft Office остава основна атакувана повърхност
Една от най-сериозните тенденции в May 2026 Patch Tuesday е големият брой критични Office уязвимости.
Microsoft поправя множество RCE проблеми в:
- Microsoft Office;
- Word;
- Excel;
- SharePoint.
Според информацията, атаките могат да бъдат осъществени чрез отваряне на злонамерени файлове, а при някои случаи е достатъчно документът да бъде визуализиран през preview pane.
Това значително увеличава риска за организации, които ежедневно обработват прикачени файлове и документи от външни източници.
Критични уязвимости в Word и Excel
Сред най-опасните Office уязвимости са:
- CVE-2026-40361;
- CVE-2026-40367;
- CVE-2026-40366;
- CVE-2026-40364.
Всички те позволяват remote code execution чрез Microsoft Word документи.
Excel също получава поправки за:
- CVE-2026-40362;
- CVE-2026-40359.
Тези уязвимости могат да доведат до изпълнение на код при обработка на специално създадени файлове.
SharePoint под прицел
Microsoft адресира няколко критични проблема в SharePoint Server, включително:
- CVE-2026-40365;
- CVE-2026-40368;
- CVE-2026-35439;
- CVE-2026-33112.
Особено внимание привлича CVE-2026-40365, която позволява authenticated network-based remote code execution върху SharePoint сървъри.
Това я превръща в сериозен риск за корпоративни среди и публично достъпни SharePoint инстанции.
Опасна DNS Client RCE уязвимост
Сред най-значимите Windows проблеми е:
CVE-2026-41096 – Windows DNS Client Remote Code Execution Vulnerability
Според Microsoft атакуващ може да контролира DNS сървър и да изпрати специално създаден DNS отговор, който предизвиква memory corruption в Windows DNS Client компонента.
Успешната експлоатация може да позволи дистанционно изпълнение на код върху уязвимата система.
Този тип уязвимости са особено опасни, защото DNS комуникацията е фундаментална част от почти всяка мрежова инфраструктура.
Уязвимост в Windows GDI чрез EMF файлове
Microsoft поправя и:
CVE-2026-35421 – Windows GDI Remote Code Execution Vulnerability
Уязвимостта може да бъде експлоатирана чрез отваряне на злонамерен Enhanced Metafile (EMF) файл в Microsoft Paint.
Подобни image parsing уязвимости традиционно са предпочитани при phishing кампании и malware доставки.
Netlogon, Hyper-V и WiFi драйвери също са засегнати
Patch Tuesday пакетът включва и критични проблеми в:
- Windows Netlogon;
- Hyper-V;
- Native WiFi Miniport Driver;
- Windows Graphics Component;
- SMB Client;
- TCP/IP;
- Win32k.
Сред тях се открояват:
- CVE-2026-41089 – Windows Netlogon RCE;
- CVE-2026-32161 – Native WiFi Miniport Driver RCE;
- CVE-2026-40403 – Windows Graphics Component RCE.
Visual Studio Code и GitHub Copilot също получават поправки
Microsoft публикува корекции и за:
- Visual Studio Code;
- GitHub Copilot;
- M365 Copilot;
- Outlook for iOS;
- Power Automate;
- SQL Server;
- Azure компоненти.
Интерес представляват:
- CVE-2026-41109 – GitHub Copilot и VS Code Security Feature Bypass;
- CVE-2026-41611 – Visual Studio Code RCE;
- CVE-2026-26164 – M365 Copilot Information Disclosure Vulnerability.
Други компании също публикуваха критични обновления
Май се оказва изключително натоварен месец за индустрията по киберсигурност.
Освен Microsoft, критични обновления публикуваха още:
- Adobe;
- AMD;
- Apple;
- Cisco;
- Fortinet;
- Google Android;
- Ivanti;
- Mozilla;
- Palo Alto Networks;
- SAP;
- vm2.
Особено внимание привлича предупреждението на Palo Alto Networks за активно експлоатирана zero-day уязвимост в PAN-OS User-ID Authentication Portal, за която към момента все още няма официален пач.
Организациите трябва да приоритизират Office и SharePoint
Въпреки липсата на публично потвърдени zero-day атаки при Microsoft този месец, експертите по сигурност вероятно ще препоръчат приоритетно обновяване на:
- Microsoft Office;
- Word;
- Excel;
- SharePoint;
- Windows DNS Client;
- Netlogon;
- Hyper-V системите.
Особено рискови остават среди с:
- масова обработка на документи;
- RDP достъп;
- публични SharePoint инстанции;
- legacy инфраструктура;
- слабо сегментирани мрежи.
