Microsoft v utorok (14.4.2026) vydal aktualizácie na riešenie rekordných 169 bezpečnostných chýb naprieč svojím produktovým portfóliom, vrátane jednej zraniteľnosti, ktorá bola aktívne zneužívaná vo voľnej prírode.
Z týchto 169 zraniteľností je 157 hodnotených ako Dôležité, osem je hodnotených ako Kritické, tri sú hodnotené ako Stredné a jedna je hodnotená ako Nízka z hľadiska závažnosti. Deväťdesiattri chýb je klasifikovaných ako eskalácia oprávnení, nasledovaných 21 únikmi informácií, 21 vzdialeným vykonaním kódu, 14 obchádzaním bezpečnostných funkcií, 10 spoofing zraniteľnosťami a deviatimi zraniteľnosťami typu odmietnutie služby.
Medzi týmito 169 chybami sú zahrnuté aj štyri CVE nevydané Microsoftom ovplyvňujúce AMD (CVE-2023-20585), Node.js (CVE-2026-21637), Windows Secure Boot (CVE-2026-25250) a Git pre Windows (CVE-2026-32631). Aktualizácie sú navyše k 78 zraniteľnostiam, ktoré boli opravené v jeho prehliadači Edge založenom na Chromiume od aktualizácie vydanej minulý mesiac.
Toto vydanie z neho robí druhý najväčší Patch Tuesday vôbec, mierne pod rekordom stanoveným v októbri 2025, keď Microsoft riešil masívnych 183 bezpečnostných chýb. „Pri tomto tempe je rok 2026 na dobrej ceste potvrdiť, že 1 000+ CVE v rámci Patch Tuesday ročne je normou,“ povedal Satnam Narang, senior výskumný inžinier v Tenable.
„Nielen to, ale chyby eskalácie oprávnení naďalej dominujú cyklu Patch Tuesday za posledných osem mesiacov, pričom tvoria rekordných 57 % všetkých CVE opravených v apríli, zatiaľ čo zraniteľnosti vzdialeného vykonania kódu (RCE) klesli len na 12 %, čo je tento mesiac rovnaké ako zraniteľnosti úniku informácií.“
Zraniteľnosť, ktorá sa dostala pod aktívne zneužívanie, je CVE-2026-32201 (CVSS skóre: 6.5), spoofing zraniteľnosť ovplyvňujúca Microsoft SharePoint Server.
„Nesprávna validácia vstupu v Microsoft Office SharePoint umožňuje neautorizovanému útočníkovi vykonávať spoofing cez sieť,“ uviedol Microsoft v oznámení. „Útočník, ktorý úspešne zneužije zraniteľnosť, môže vidieť niektoré citlivé informácie (Dôvernosť), robiť zmeny v odhalených informáciách (Integrita), ale nemôže obmedziť prístup k zdroju (Dostupnosť).“
Aj keď bola zraniteľnosť objavená interne, momentálne nie je známe, ako je zneužívaná, kto môže byť za touto aktivitou a aký je rozsah takýchto aktivít.
„Táto zero-day zraniteľnosť v Microsoft SharePoint Server je spôsobená nesprávnou validáciou vstupu, čo umožňuje útočníkom falšovať dôveryhodný obsah alebo rozhrania cez sieť,“ povedal Mike Walters, prezident a spoluzakladateľ Action1.
„Zneužitím tejto chyby môže útočník manipulovať s tým, ako sú informácie prezentované používateľom, potenciálne ich oklamať, aby dôverovali škodlivému obsahu. Hoci priamy dopad na dáta je obmedzený, schopnosť oklamať používateľov robí z toho silný nástroj pre širšie útoky.“
Aktívne zneužívanie CVE-2026-32201 prinútilo americkú Agentúru pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) pridať ju do katalógu známych zneužívaných zraniteľností (KEV), čo vyžaduje, aby federálne civilné výkonné agentúry (FCEB) napravili nedostatok do 28. apríla 2026.
Ďalšou významnou zraniteľnosťou je chyba eskalácie oprávnení v Microsoft Defender (CVE-2026-33825, CVSS skóre: 7.8), ktorá bola v čase vydania označená ako verejne známa. Podľa Redmondu by zraniteľnosť mohla umožniť autorizovanému útočníkovi lokálne zvýšiť oprávnenia využitím nedostatočných granulárnych prístupových kontrol v Defendere.
Microsoft poznamenal, že na inštaláciu aktualizácie pre CVE-2026-33825 nie je potrebná žiadna akcia používateľa, keďže platforma sa štandardne často aktualizuje sama. Systémy, ktoré majú Microsoft Defender deaktivovaný, nie sú v stave zneužiteľnosti.
Hoci oznámenie Microsoftu nespomína verejný exploit kód, záplata údajne rieši zero-day známy ako BlueHammer, ktorý bol zdieľaný na GitHub 3. apríla 2026 nespokojným bezpečnostným výskumníkom používajúcim alias „Chaotic Eclipse“ po zlyhaní komunikácie s technologickým gigantom ohľadom procesu zverejnenia zraniteľnosti. V čase písania vyžaduje prístup k verejnému repozitáru exploitov prihlásenie do GitHubu.
Podľa Cyderes zraniteľnosť zneužíva proces aktualizácie Microsoft Defender prostredníctvom zneužitia Volume Shadow Copy na eskaláciu používateľa s nízkymi oprávneniami na NT AUTHORITY\SYSTEM spojením legitímnych funkcií Windows.
„Počas určitých pracovných tokov aktualizácie a nápravy Defender vytvára dočasnú snímku Volume Shadow Copy,“ vysvetlili bezpečnostní výskumníci Rahul Ramesh a Reegun Jayapaul začiatkom tohto mesiaca. „BlueHammer používa Cloud Files callbacks a oplocks na pozastavenie Defenderu presne v správnom momente, čím ponechá snímku pripojenú a registre SAM, SYSTEM a SECURITY dostupné – súbory, ktoré sú za normálnych okolností počas behu uzamknuté.“
„Úspešné zneužitie umožňuje útočníkovi čítať databázu SAM, dešifrovať NTLM hash-e hesiel, prevziať lokálny administrátorský účet a spustiť shell na úrovni SYSTEM, pričom zároveň obnoví pôvodný hash hesla, aby sa vyhol detekcii.“
Bezpečnostný výskumník Will Dormann v príspevku na Mastodone potvrdil, že exploit BlueHammer už nefunguje a „zdá sa byť opravený od CVE-2026-33825,“ hoci „niektoré podozrivé časti exploitu sa stále zdajú fungovať.“
Jednou z najzávažnejších zraniteľností je prípad vzdialeného vykonania kódu ovplyvňujúci rozšírenia služby Windows Internet Key Exchange (IKE). Sledovaná ako CVE-2026-33824, bezpečnostná chyba má CVSS skóre 9.8 z 10.0.
„Zneužitie vyžaduje, aby útočník poslal špeciálne vytvorené pakety na Windows zariadenie s povoleným IKE v2, čo môže umožniť vzdialené vykonanie kódu,“ uviedol Adam Barnett, hlavný softvérový inžinier v Rapid7.
„Zraniteľnosti vedúce k neautentifikovanému RCE proti moderným Windows zariadeniam sú relatívne zriedkavé, inak by sme videli viac červov schopných samostatného šírenia naprieč internetom. Keďže však IKE poskytuje služby vyjednávania bezpečných tunelov, napríklad pre VPN, je nevyhnutne vystavený nedôveryhodným sieťam a dostupný v kontexte pred autorizáciou.“
Walters poznamenal, že bezpečnostná chyba predstavuje vážnu hrozbu pre podnikové prostredia, najmä tie, ktoré sa spoliehajú na VPN alebo IPsec pre bezpečnú komunikáciu. Úspešné zneužitie zraniteľnosti môže viesť k úplnému kompromitovaniu systému, čo umožní útočníkom kradnúť citlivé dáta, narúšať operácie alebo sa laterálne pohybovať v sieti.
„Nedostatok požadovanej interakcie používateľa robí toto obzvlášť nebezpečné pre systémy vystavené internetu. Nízka komplexnosť útoku a plný dopad na systém z neho robia hlavného kandidáta na rýchlu weaponizáciu,“ dodal Walters. „Systémy vystavené internetu, ktoré prevádzkujú služby IKEv2, sú obzvlášť ohrozené a odkladanie nasadenia záplaty zvyšuje vystavenie potenciálnym rozsiahlym útokom.“
Viac informácií tu:
https://thehackernews.com/2026/04/microsoft-issues-patches-for-sharepoint.html