Microsoft heeft dinsdag patches uitgebracht voor een reeks van 84 nieuwe beveiligingsproblemen die verschillende softwarecomponenten treffen, waaronder twee die als algemeen bekend zijn vermeld.
Hiervan worden er acht beoordeeld als kritiek en 76 als belangrijk qua ernst. Zesenveertig van de gepatchte kwetsbaarheden hebben betrekking op escalatie van privileges, gevolgd door 18 uitvoering van code op afstand, 10 vrijgave van informatie, vier spoofing, vier denial-of-service en twee omzeilingsfouten in beveiligingsfuncties.
De oplossingen vormen een aanvulling op 10 kwetsbaarheden die zijn verholpen in de Chromium-gebaseerde Edge-browser sinds de release van de Patch Tuesday-update van februari 2026.
De twee openbaar gemaakte zero-days zijn CVE-2026-26127 (CVSS-score: 7,5), een denial-of-service-kwetsbaarheid in .NET, en CVE-2026-21262 (CVSS-score: 8,8), een kwetsbaarheid voor misbruik van bevoegdheden in SQL Server.
Het beveiligingslek met de hoogste CVSS-score in de update van deze maand is een kritieke fout bij het uitvoeren van externe code in het Microsoft Devices Pricing Program. CVE-2026-21536 (CVSS-score: 9,8), volgens Microsoft, is volledig verholpen en er is geen actie vereist van gebruikers. Het door kunstmatige intelligentie (AI) aangedreven autonome platform voor het ontdekken van kwetsbaarheden, XBOW, is gecrediteerd voor het ontdekken en rapporteren van het probleem.
“Deze maand bestond meer dan de helft (55%) van alle Patch Tuesday CVE’s uit bugs voor escalatie van privileges, en daarvan werd bij zes ervan de kans groter geacht dat ze zouden worden uitgebuit in de Windows Graphics Component, Windows Accessibility Infrastructure, Windows Kernel, Windows SMB Server en Winlogon”, zegt Satnam Narang, senior staff research engineer bij Tenable.
“We weten dat deze bugs doorgaans door bedreigingsactoren worden gebruikt als onderdeel van post-compromisactiviteiten, zodra ze via andere middelen (social engineering, exploitatie van een andere kwetsbaarheid) op systemen terechtkomen.”
Met name de escalatiefout in Winlogon-rechten (CVE-2026-25187, CVSS-score: 7,8) maakt gebruik van onjuiste koppelingsresolutie om SYSTEEM-rechten te verkrijgen. Google Project Zero-onderzoeker James Forshaw is erkend voor het melden van de kwetsbaarheid.
“Door deze fout kan een lokaal geauthenticeerde aanvaller met weinig rechten misbruik maken van een link-volgende voorwaarde in het Winlogon-proces en escaleren naar SYSTEEM-rechten”, zegt Jacob Ashdown, cybersecurity-ingenieur bij Immersive. “De kwetsbaarheid vereist geen gebruikersinteractie en heeft een lage aanvalscomplexiteit, waardoor het een eenvoudig doelwit is zodra een aanvaller voet aan de grond krijgt.”
Een andere opmerkelijke kwetsbaarheid is CVE-2026-26118 (CVSS-score: 8,8), een bug voor het vervalsen van verzoeken aan de serverzijde in de Azure Model Context Protocol (MCP)-server waarmee een geautoriseerde aanvaller de bevoegdheden over een netwerk kan verhogen.
“Een aanvaller zou dit probleem kunnen misbruiken door speciaal vervaardigde invoer naar een Azure Model Context Protocol (MCP) Server-tool te sturen die door de gebruiker opgegeven parameters accepteert”, aldus Microsoft.
“Als de aanvaller kan communiceren met de door MCP ondersteunde agent, kan deze een kwaadaardige URL indienen in plaats van een normale Azure-resource-ID. De MCP-server stuurt vervolgens een uitgaand verzoek naar die URL en kan daarbij het beheerde identiteitstoken toevoegen. Hierdoor kan de aanvaller dat token vastleggen zonder dat daarvoor beheerderstoegang nodig is.”
Succesvol misbruik van het beveiligingslek kan een aanvaller in staat stellen de machtigingen te verkrijgen die zijn gekoppeld aan de beheerde identiteit van de MCP-server. De aanvaller kan dit gedrag vervolgens gebruiken om toegang te krijgen tot of acties uit te voeren op alle bronnen waarvoor de beheerde identiteit bevoegd is om deze te bereiken.
Een van de kritieke bugs die door Microsoft zijn opgelost, is een fout in het vrijgeven van informatie in Excel. Bijgehouden als CVE-2026-26144 (CVSS-score van 7,5), is het beschreven als een geval van cross-site scripting dat optreedt als gevolg van onjuiste neutralisatie van invoer tijdens het genereren van webpagina’s.
De Windows-maker zei dat een aanvaller die misbruik maakt van de tekortkoming er mogelijk voor kan zorgen dat de Copilot Agent-modus gegevens exfiltreert als onderdeel van een zero-click-aanval.
“Kwetsbaarheden bij het vrijgeven van informatie zijn vooral gevaarlijk in bedrijfsomgevingen waar Excel-bestanden vaak financiële gegevens, intellectueel eigendom of operationele gegevens bevatten”, zegt Alex Vovk, CEO en medeoprichter van Action1, in een verklaring.
“Als aanvallers worden uitgebuit, kunnen ze in stilte vertrouwelijke informatie uit interne systemen halen zonder duidelijke waarschuwingen te veroorzaken. Organisaties die AI-ondersteunde productiviteitsfuncties gebruiken, kunnen te maken krijgen met verhoogde blootstelling, omdat geautomatiseerde agenten onbedoeld gevoelige gegevens buiten de bedrijfsgrenzen kunnen verzenden.”
De patches komen zoals Microsoft zei dat het het standaardgedrag van Windows Autopatch verandert door hotpatch-beveiligingsupdates in te schakelen om apparaten sneller te beveiligen.
“Deze verandering in het standaardgedrag geldt voor alle in aanmerking komende apparaten in Microsoft Intune en voor degenen die toegang krijgen tot de service via de Microsoft Graph API, te beginnen met de Windows-beveiligingsupdate van mei 2026”, aldus Redmond. “Het toepassen van beveiligingsoplossingen zonder te wachten op een herstart kan ervoor zorgen dat organisaties in de helft van de tijd 90% compliance bereiken, terwijl jij de controle behoudt.”
