Microsoft Patch Tuesday april 2026: hva må fikses først
April 2026 leverer 163 CVE-er, to zero-days og åtte kritiske. En SharePoint-spoofing utnyttes allerede, og en CVSS 9.8 uautentisert Windows IKE RCE går i samme første runde.
TL;DR: April 2026 er en av de største månedlige Microsoft-oppdateringene noensinne. 163 CVE-er i kjerneprodukter, 8 kritiske, 154 viktige, 1 moderat, pluss to zero-days. CVE-2026-32201, en spoofing-feil i SharePoint Server, utnyttes i naturen og står i CISAs KEV-katalog med føderal frist. CVE-2026-33824, en CVSS 9.8 uautentisert RCE i Windows IKE Service Extensions, hører til samme første runde. LPE-en i Defender Antimalware Platform, CVE-2026-33825 (BlueHammer), gikk ut med en proof-of-concept allerede i omløp. Rettighetseskalering utgjør 57 % av releasen, en rekordhøy andel.
Sist gjennomgått 2026-05-21 av fredrik-standahl
Hva Microsoft leverte
Microsoft publiserte April 2026-sikkerhetsoppdateringen 14. april 2026. Microsofts egen Security Update Guide lister 163 CVE-er på tvers av kjerneprodukter, hvorav 8 er klassifisert som kritiske, 154 som viktige og 1 som moderat. Tredjeparts-trackere oppgir litt andre tall, BleepingComputer teller 167 og The Hacker News 168, fordi de tar med republiserte CVE-er, Edge-oppdateringer og andre tilstøtende rettinger. Vi bruker Microsofts tall for kjerne-releasen.
Sju av de åtte kritiske er fjernkjøring av kode; den åttende er tjenestenekt. Rettighetseskalering dominerer kategorimessig med 93 patcher eller 57 % av releasen, mens fjernkjøring av kode og informasjonslekkasje hver utgjør rundt 12 %. Produktene som er berørt spenner over SharePoint Server, Windows-kjernen og nettverksstacken, Active Directory, Microsoft Defender, Windows IKE/IPsec, TCP/IP, Hyper-V og vanlige Office- og Edge-komponenter.
Disse må fikses først
CVE-2026-32201: SharePoint Server spoofing (zero-day, utnyttet). Mangelfull inputvalidering i Microsoft Office SharePoint lar en uautentisert angriper utgi seg for å være legitime brukere over nettverket. Feilen rammer SharePoint Enterprise Server 2016, SharePoint Server 2019 og SharePoint Server Subscription Edition. CISA la den inn i Known Exploited Vulnerabilities-katalogen 14. april 2026, med føderal utbedringsfrist 28. april. BleepingComputer rapporterte over 1 300 internett-eksponerte SharePoint-servere fortsatt uoppdaterte to uker etter release. All on-prem SharePoint som er nåbar fra internett, går i første patch-vindu.
CVE-2026-33824: Windows IKE Service Extensions RCE (CVSS 9.8). En double-free under IKEv2-fragmentreassemblering lar en uautentisert angriper kjøre kode på alle Windows-systemer som lytter på UDP/500 eller UDP/4500. Det dekker brorparten av Windows VPN-gatewayer og RRAS-installasjoner. Microsofts mitigeringsanbefaling for verter som ikke kan patches umiddelbart, er å blokkere innkommende UDP/500 og UDP/4500 eller begrense dem til kjente peers. Behandl VPN-konsentratorer og alle IKEv2-aktiverte servere på samme måte som domenekontrollere denne uken.
CVE-2026-33825: Microsoft Defender Antimalware Platform LPE, «BlueHammer» (CVSS 7.8, offentlig avslørt). En time-of-check-to-time-of-use-race i Defenders signaturoppdateringer lar en standardbruker eskalere til NT AUTHORITY\SYSTEM. En fungerende proof-of-concept ble publisert før patchen kom ut, så enhver enhet som ikke har hentet Defender-plattformoppdateringen, er eksponert for en ferdigbygget exploit. CISA la senere CVE-2026-33825 inn i KEV-katalogen, som bekrefter utnyttelse i naturen og setter føderal frist til 7. mai. Defender-plattformoppdateringen leveres out-of-band og kan allerede ha landet stille. Verifiser på tvers av flåten.
CVE-2026-33827: Windows TCP/IP RCE (CVSS 8.1). En race condition i Windows TCP/IP-stacken gir en uautentisert ekstern angriper kodekjøring ved å sende spesiallagde pakker. Microsoft vurderer utnyttelse som «More Likely». Alle støttede Windows-versjoner er berørt.
CVE-2026-33826: Windows Active Directory RCE (CVSS 8.0, «Exploitation More Likely»). Mangelfull inputvalidering i en AD RPC-sti lar en autentisert angriper på det tilstøtende nettverket kjøre kode inne i RPC-vertsprosessen. Domenekontrollere på tvers av Windows Server 2012 R2 til 2025 er berørt, og veien fra en AD-bruker med lave rettigheter til full domenekompromittering er kort. Patch med samme hastverk som IKE-RCE-en.
Zero-days og utnyttelsesstatus
To zero-days kom 14. april. CVE-2026-32201 ble bekreftet utnyttet i naturen før patchen landet og er fortsatt under aktiv misbruk, med over 1 300 eksponerte SharePoint-servere fortsatt uoppdaterte ved utgangen av april. CVE-2026-33825 (BlueHammer) ble offentlig avslørt før patch-dagen, med en fungerende proof-of-concept, og senere løftet til KEV etter detekteringer i naturen. Begge nullstiller «ingen zero-day»-stripen fra mai 2026. April er det mer typiske mønsteret.
Bredere kontekst
To temaer fra denne releasen betyr noe utover de enkelte CVE-ene. For det første står rettighetseskalering nå for 57 % av månedlige Microsoft-CVE-er, en rekordhøy andel som har trendet oppover de siste åtte månedene. Implikasjonen for SMB-forsvarere er at forebygging av initial access gjør mer arbeid enn den burde, fordi når en angriper først har fått fotfeste, er verktøykassen for privilegieeskalering uvanlig godt fylt akkurat nå. Hygiene rundt lokale admins, EDR-dekning på alle endepunkter og just-in-time admin-eskalering går fra «kjekt å ha» til «det som hindrer at et phishing-klikk blir til en domenekompromittering».
For det andre er SharePoint-zero-dayen en fortsettelse av et mønster over flere kvartaler der lokale Microsoft-samhandlingsservere (Exchange, SharePoint, Skype/Lync) fortsetter å produsere eksponerte sårbarheter med høy konsekvens. Hvis dere fortsatt kjører on-prem SharePoint av grunner som ikke er strengt påkrevd, er dette nok et datapunkt for migreringsbusiness-casen.
Hva vi anbefaler nå
- Patch on-premises SharePoint Server i dag. Bekreft internett-eksponering og patch-nivå for hver Subscription Edition-, 2019- og 2016-farm. Kryssjekk mot CISAs KEV-liste.
- Send april-kumulativen til VPN-gatewayer, RRAS-servere og alle verter med IKEv2 aktivert. Hvis patching må vente, blokker innkommende UDP/500 og UDP/4500 eller begrens dem til kjente peer-adresser.
- Patch domenekontrollere i samme vindu. CVE-2026-33826 pluss den lange halen av EoP-rettinger forkorter veien fra enhver lavprivilegert AD-konto til full domenekompromittering.
- Verifiser Microsoft Defender-plattformversjonen på tvers av flåten, og tving oppdatering på enheter som fortsatt står på pre-patch-bygget. BlueHammer-PoC-en er ute i det åpne.
- Kjør en oppdatert revisjon av lokal admin og privilegert tilgang. Med rettighetseskalering på rekordhøy andel av releasen er den realistiske trusselmodellen «angriperen er allerede inne, hva nå», og kontrollene som betyr noe ligger i identitet, EDR og just-in-time admin.
Snakk med Fredrik hvis du vil ha vår vurdering av prioritering for din stack.
Utkastet er skrevet med AI-assistanse, gjennomgått og redigert av Fredrik Standahl og FM-redaksjonen.
Kilder
- Microsoft Security Update Guide, msrc.microsoft.com/update-guide
- Tenable, «Microsoft’s April 2026 Patch Tuesday Addresses 163 CVEs (CVE-2026-32201)»
- BleepingComputer, «Microsoft April 2026 Patch Tuesday fixes 167 flaws, 2 zero-days»
- Cisco Talos Intelligence, «Microsoft Patch Tuesday for April 2026: Snort rules and prominent vulnerabilities»
- Zero Day Initiative, «The April 2026 Security Update Review»
- CrowdStrike, «April 2026 Patch Tuesday: Updates and Analysis»
- The Hacker News, «Microsoft Issues Patches for SharePoint Zero-Day and 168 Other New Vulnerabilities»
- Security Affairs, «Microsoft Patch Tuesday for April 2026 fixed actively exploited SharePoint zero-day»
- Picus Security, «BlueHammer & RedSun: Windows Defender CVE-2026-33825 Zero-day Vulnerability Explained»
- Dark Reading, «Privilege Elevation Dominates Massive Microsoft Patch Update»
