Microsoft майским Patch Tuesday закрыла 120 уязвимостей — 17 критических, 14 из которых позволяют удалённо выполнить код. Нулевых дней нет, но расслабляться рано.
По данным Anti-Malware от 13 мая 2026 года, в майском пакете обновлений Microsoft исправила 120 уязвимостей. Структура по типам: 61 — повышение привилегий, 31 — удалённое выполнение кода, 14 — раскрытие информации, 13 — подмена, 8 — отказ в обслуживании, 6 — обход защиты.
Отсутствие 0-day — хорошая новость. Плохая — три уязвимости из критических заслуживают отдельного внимания, и они не абстрактные.
Три CVE которые стоит закрыть первыми. CVE-2026-35421 — уязвимость в Windows GDI. Эксплуатируется через вредоносный EMF-файл, открытый в Microsoft Paint. Да, в Paint. Звучит несерьёзно, пока не вспоминаешь, сколько пользователей открывают вложения именно там.
CVE-2026-40365 — SharePoint Server. Аутентифицированный злоумышленник может удалённо выполнить код на сервере через сетевую атаку. Для корпоративной среды это прямой путь к данным и внутренним сервисам.
CVE-2026-41096 — Windows DNS Client. Контролируемый атакующим DNS-сервер отправляет специально сформированный ответ, вызывает повреждение памяти и добивается RCE. Вектор атаки — сетевой уровень, без какого-либо взаимодействия с пользователем.
Office и предпросмотр как вектор атаки. Отдельного внимания заслуживает пакет патчей для Microsoft Office, Word и Excel. Несколько закрытых уязвимостей позволяют выполнить код при открытии специально подготовленного файла. Часть атак срабатывает через панель предварительного просмотра — то есть файл даже не нужно открывать полностью.
Для организаций, где сотрудники регулярно получают вложения по почте, это не теоретический риск. Обновления Office в этом цикле лучше не откладывать на «следующую неделю».
SharePoint Server — обновить приоритетно, особенно если он смотрит наружу или используется как интранет-портал
Windows DNS Client — проверить, применились ли патчи на всех рабочих станциях и серверах в домене
Office / Word / Excel — развернуть через WSUS или Intune без ожидания следующего окна обслуживания
GDI / Paint — звучит как мелочь, но EMF-файлы гуляют в корпоративной почте чаще, чем кажется
120 уязвимостей за один цикл — это уже не исключение, а норма для Microsoft. Апрельский пакет был сопоставимым. Темп не снижается, и это означает одно: окно между выходом патча и его эксплуатацией в реальных атаках продолжает сжиматься. Кто не успел за 30 дней — играет в другую игру.
