Microsoft łata 138 podatności w maju 2026. Krytyczne luki RCE w DNS i Netlogon

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

Microsoft opublikował majowy pakiet aktualizacji bezpieczeństwa na 2026 rok, usuwając 138 podatności w systemach Windows, usługach chmurowych i produktach biznesowych. Szczególne znaczenie mają dwie krytyczne luki zdalnego wykonania kodu w komponentach Windows DNS oraz Netlogon, ponieważ dotyczą one usług o kluczowym znaczeniu dla działania infrastruktury firmowej.

Z perspektywy bezpieczeństwa organizacji tego typu podatności są wyjątkowo groźne. Mogą prowadzić do przejęcia systemów, eskalacji uprawnień, naruszenia integralności środowiska domenowego oraz ułatwiać dalszy ruch boczny w sieci.

W skrócie

Microsoft załatał 138 podatności w maju 2026 roku.
30 luk otrzymało klasyfikację krytyczną.
Najpoważniejsze błędy dotyczą Windows DNS oraz Windows Netlogon.
Aktualizacje objęły także Azure, Dynamics 365, Hyper-V, Office Word, Teams i mechanizmy tożsamości.
Firma przypomniała również o konieczności przygotowania środowisk do rotacji certyfikatów Secure Boot przed końcem czerwca 2026 roku.

Kontekst / historia

Comiesięczne aktualizacje Microsoft od lat pozostają jednym z najważniejszych punktów odniesienia dla administratorów, zespołów SOC i działów IT. Majowy Patch Tuesday 2026 pokazuje, że powierzchnia ataku w ekosystemie Microsoft nadal rośnie, obejmując zarówno systemy lokalne, jak i usługi chmurowe oraz aplikacje biznesowe.

Skala zmian jest istotna również z operacyjnego punktu widzenia. Według opublikowanych informacji producent usunął już w 2026 roku ponad 500 zidentyfikowanych CVE, co potwierdza wzrost liczby odkrywanych podatności. Dodatkowo Microsoft wskazał, że część błędów została wykryta z wykorzystaniem systemów wspomagających analizę podatności, co może oznaczać dalsze przyspieszenie tempa odkrywania nowych luk.

Analiza techniczna

Największą uwagę zwraca CVE-2026-41096 w Windows DNS. Jest to podatność typu heap-based buffer overflow, która może umożliwić zdalne wykonanie kodu po dostarczeniu specjalnie spreparowanej odpowiedzi DNS do podatnego systemu. Problem wynika z nieprawidłowego przetwarzania odpowiedzi przez klienta DNS, co może doprowadzić do uszkodzenia pamięci i uruchomienia kodu bez konieczności wcześniejszego uwierzytelnienia.

Drugą szczególnie groźną luką jest CVE-2026-41089 w Windows Netlogon. Ten błąd typu stack-based buffer overflow może pozwolić na zdalne wykonanie kodu na serwerze Windows pełniącym rolę kontrolera domeny. W praktyce oznacza to ryzyko ataku na jeden z najważniejszych elementów infrastruktury tożsamości, a skuteczne wykorzystanie podatności może otworzyć drogę do przejęcia kontroli nad domeną.

W pakiecie znalazły się również inne poważne błędy dotyczące usług Azure, Dynamics 365, Teams, Entra ID, Hyper-V i Azure SDK. Obejmują one scenariusze związane z ujawnieniem informacji, obejściem mechanizmów bezpieczeństwa, eskalacją uprawnień oraz wykonaniem kodu. Istotne jest to, że poziom trudności eksploatacji i wymagania wstępne różnią się w zależności od komponentu, dlatego sama liczba podatności nie powinna być jedynym kryterium priorytetyzacji.

Osobnym, ale ważnym elementem majowych działań jest kwestia rotacji certyfikatów Secure Boot. To zagadnienie ma bezpośredni wpływ na integralność procesu rozruchu i wymaga odpowiedniego przygotowania środowisk przed wskazanym terminem.

Konsekwencje / ryzyko

Najwyższe ryzyko dotyczy systemów szeroko dostępnych z sieci oraz maszyn pełniących role infrastrukturalne. W przypadku luki w Windows DNS potencjalna kompromitacja może umożliwić przejęcie hosta odpowiedzialnego za obsługę nazw, a następnie wykorzystanie tej pozycji do manipulacji ruchem, podszywania się pod zasoby lub wsparcia kolejnych etapów ataku.

Jeszcze poważniejsze mogą być skutki wykorzystania podatności w Netlogon na kontrolerze domeny. Taki scenariusz może prowadzić do uzyskania wysokich uprawnień, naruszenia poufności danych, wdrożenia ransomware, modyfikacji polityk bezpieczeństwa i trwałego osadzenia się napastnika w środowisku. Dla wielu organizacji oznacza to ryzyko pełnej kompromitacji domeny i kluczowych usług tożsamości.

Skala majowego zestawu poprawek dodatkowo utrudnia skuteczną remediację. Duża liczba CVE może spowodować opóźnienia w testach i wdrożeniach, szczególnie w organizacjach o niższej dojrzałości procesowej. W praktyce konieczne staje się podejście oparte na ekspozycji systemu, krytyczności usługi i potencjale do ruchu bocznego, a nie wyłącznie na samej ocenie CVSS czy liczbie wykrytych błędów.

Rekomendacje

W pierwszej kolejności organizacje powinny zidentyfikować wszystkie systemy podatne na CVE-2026-41096 oraz CVE-2026-41089. Najwyższy priorytet powinny otrzymać kontrolery domeny, serwery infrastrukturalne oraz systemy o wysokiej ekspozycji sieciowej.

Niezwłocznie wdrożyć aktualizacje na kontrolerach domeny i serwerach krytycznych.
Zweryfikować ekspozycję usług DNS i Netlogon oraz ograniczyć zbędny dostęp sieciowy.
Wzmocnić monitoring pod kątem anomalii w uwierzytelnianiu, zmian uprawnień i nietypowych odpowiedzi DNS.
Utrzymać pełną telemetrię EDR na systemach odpowiedzialnych za tożsamość i usługi sieciowe.
Przeanalizować wpływ poprawek na środowiska Azure, Dynamics 365, Teams oraz Hyper-V.
Przygotować plan rotacji certyfikatów Secure Boot i przetestować go przed wdrożeniem produkcyjnym.

Zespoły bezpieczeństwa powinny także zweryfikować segmentację sieci, ograniczyć przestarzałe mechanizmy uwierzytelniania oraz upewnić się, które działania w usługach chmurowych są realizowane automatycznie przez dostawcę, a które pozostają po stronie klienta.

Podsumowanie

Majowy pakiet aktualizacji Microsoft z 2026 roku wymaga zdecydowanej reakcji operacyjnej. Krytyczne luki RCE w Windows DNS i Netlogon dotyczą komponentów o fundamentalnym znaczeniu dla bezpieczeństwa i ciągłości działania środowisk korporacyjnych, dlatego ich usunięcie powinno być traktowane priorytetowo.

Skuteczne zarządzanie poprawkami nie może dziś ograniczać się do rutynowego wdrożenia aktualizacji. Kluczowe stają się właściwa priorytetyzacja, monitoring aktywności w obszarze tożsamości i usług sieciowych oraz ograniczanie powierzchni ataku w całym środowisku IT.

Źródła

Microsoft Patches 138 Vulnerabilities, Including DNS and Netlogon RCE Flaws — https://thehackernews.com/2026/05/microsoft-patches-138-vulnerabilities.html
Microsoft Security Update Guide — May 2026 release notes — https://msrc.microsoft.com/update-guide/releaseNote/2026-May
Microsoft Security Response Center — CVE-2026-41096 — https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-41096
Microsoft Security Response Center — Security update guidance for Secure Boot certificates — https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-301da2cd-85ca-46f6-9d68-3b4be4be8b62
Microsoft — Customer guidance for AI-assisted vulnerability discovery — https://www.microsoft.com/en-us/security/blog/