Microsoft heeft tijdens de Patch Tuesday van mei fixes uitgebracht voor 137 kwetsbaarheden in Windows, Azure, Dynamics 365 en andere producten. Hoewel er geen meldingen zijn van actief misbruik, waarschuwen securityonderzoekers dat meerdere lekken directe aandacht vereisen vanwege hun hoge impact.
Tegelijk bevestigt Microsoft dat AI inmiddels een grote rol speelt bij het opsporen van beveiligingsproblemen. Van de 137 CVE’s kregen er 30 het predicaat ‘kritiek’. Veertien kwetsbaarheden ontvingen een CVSS-score van 9.0 of hoger. Eén kwetsbaarheid kreeg zelfs de maximale score van 10.0, al meldt Microsoft dat dit specifieke probleem in Azure DevOps inmiddels al server-side is verholpen.
Microsoft geeft aan dat het aantal ontdekte kwetsbaarheden al langere tijd stijgt door de inzet van automatisering en AI-analyse. Volgens het bedrijf worden softwarecomponenten tegenwoordig sneller en op grotere schaal onderzocht dan enkele jaren geleden mogelijk was.
Daarbij meldt Tom Gallagher, VP of engineering at Microsoft Security Response Center, voor het eerst een interne AI-gestuurde scanomgeving met de codenaam MDASH. Volgens SiliconANGLE hielp die tooling bij het opsporen van zestien van de kwetsbaarheden die deze maand zijn opgelost. Microsoft wil MDASH bovendien in beperkte private preview beschikbaar maken voor klanten.
Het bedrijf verwacht dat Patch Tuesday-releases daardoor structureel groter zullen worden. In een toelichting stelt het Microsoft Security Response Center dat organisaties rekening moeten houden met een hoger tempo van patches en mogelijk vaker tussentijdse updates buiten het reguliere schema.
Kritieke DNS-kwetsbaarheid
Een van de zwaarste kwetsbaarheden deze maand is CVE-2026-41096, een remote code execution-lek in de Windows DNS Client met een CVSS-score van 9.8. Het probleem ontstaat door een heap-based buffer overflow en kan worden misbruikt via een speciaal geprepareerde DNS-respons. Authenticatie of gebruikersinteractie is daarbij niet nodig.
Volgens securityonderzoekers is het risico groot doordat vrijwel alle Windows-systemen gebruikmaken van de DNS Client. Aanvallers zouden via kwaadaardige DNS-antwoorden op grote schaal systemen kunnen compromitteren.
Ook een tweede kwetsbaarheid met CVSS 9.8, CVE-2026-41089 in Windows Netlogon, krijgt veel aandacht. Die fout maakt het mogelijk om zonder credentials code uit te voeren op Windows-domaincontrollers via speciaal opgebouwde netwerkrequests. Onderzoekers omschrijven het lek als potentieel wormable.
Daarnaast patcht Microsoft een ernstige kwetsbaarheid in Dynamics 365 on-premises-omgevingen. CVE-2026-42898 kreeg een CVSS-score van 9.9 en maakt remote code execution mogelijk voor geauthenticeerde gebruikers zonder verhoogde rechten.
Volgens Microsoft kan een aanvaller gemanipuleerde sessiedata laten verwerken door Dynamics CRM, waarna kwaadaardige code uitgevoerd kan worden. Omdat het probleem mogelijk impact heeft buiten de direct getroffen component, adviseren onderzoekers organisaties om de update snel te testen en uit te rollen.