Microsoft Patch Tuesday mai 2026: hva må fikses først

TL;DR: Mai 2026 er den første månedlige Microsoft-oppdateringen siden juni 2024 uten zero-days utnyttet i naturen og uten offentlig forhåndsavsløring. 137 CVE-er i kjerneprodukter, 17 kritiske, 14 av dem fjernkjøring av kode. To uautentiserte, nettverkstilgjengelige CVSS 9.8 RCE-er (Netlogon CVE-2026-41089 og DNS Client CVE-2026-41096) sender domenekontrollere og DNS-servere fremst i køen. En CVSS 9.9 Dynamics 365 on-premises RCE (CVE-2026-42898) havner i samme runde for enhver tenant som er nåbar fra internett. En use-after-free i Microsoft Word som utløses fra Outlook-forhåndsvisning tvinger Office-kumulativen ut på alle e-post-eksponerte enheter denne uken. Mai-oppdateringen er også det siste komfortable vinduet før de opprinnelige 2011-Secure Boot-sertifikatene utløper 26. juni.

Sist gjennomgått 2026-05-18 av fredrik-standahl

Hva Microsoft leverte

Microsoft publiserte 137 CVE-rettinger 12. mai 2026, pluss 133 Chromium-baserte Edge-CVE-er som telles separat. 17 er klassifisert som kritiske og 14 av dem er fjernkjøring av kode. Ingen Exchange Server-oppdatering kom denne måneden, og det gjelder alle versjoner som fortsatt får støtte, inkludert Extended Security Update-programmet. For første gang på nesten to år vurderer Microsoft Security Response Center at ingen av disse sårbarhetene er utnyttet i naturen eller offentlig avslørt før patch-dagen. Tempoet denne måneden er patch-på-plan, ikke patch-i-natt.

Det betyr ikke at man kan lene seg tilbake. Listen er stor, flere av de kritiske er nettverkstilgjengelige uten innlogging, og kalenderen jobber mot forsvarerne på et separat spor på grunn av Secure Boot.

Hva som endrer seg i praksis

To CVSS 9.8 RCE-er ligger på det uautentiserte, nettverkstilgjengelige nivået. CVE-2026-41089 er et stack-basert bufferoverløp i Netlogon Remote Protocol. Vellykket utnyttelse gir kodekjøring som Netlogon-tjenesten, som kjører som SYSTEM på en domenekontroller, fra én eneste spesiallaget pakke rettet mot RPC-endepunktet. CVE-2026-41096 er et heap-basert bufferoverløp i Windows DNS Client med samme utnyttelsesprofil og et bredere installasjonsgrunnlag, fordi alle Windows-verter kjører klienten. Begge påvirker Windows Server 2022 og Windows Server 2025 i støttede konfigurasjoner. Domenekontrollere og internett-eksponerte DNS-servere oppdateres først. Medlemsservere og klienter går i neste runde.

CVE-2026-42898 er en CVSS 9.9 kodeinjeksjon i on-premises Microsoft Dynamics 365. Enhver autentisert bruker kan utløse den, uten admin-rettigheter og uten brukerhandling. CVE-en har scope change, som betyr at virkningen ikke holder seg inne i Dynamics-prosessen. Kundedata og integrerte back-office-systemer er nåbare derfra. Hvis on-prem Dynamics er internett-eksponert, eller tilgjengelig for leverandører og konsulenter med kontoer med lav tillit, går denne oppdateringen i samme vindu som domenekontroller-patchene, ikke senere i måneden.

To use-after-free-feil i Microsoft Word fortjener tidlig oppmerksomhet fordi Outlook-forhåndsvisning er nok til å utløse dem. Microsoft vurderer den ledende Word-feilen som “Exploitation More Likely”. Brukerne trenger ikke å åpne vedlegget. Outlook gjør det for dem når forhåndsvisningen rendres. Send Office- og Microsoft 365 Apps-kumulativen til alle enheter som behandler ekstern e-post denne uken, ikke neste.

Så er det Secure Boot. KEK- og DB-sertifikatene fra 2011 som brukes av de fleste Windows-enheter bygget mellom 2012 og 2025, utløper 26. juni 2026. Mai-oppdateringen er det siste komfortable distribusjonsvinduet for 2023-erstatningssertifikatene. Enheter som mister vinduet, fortsetter å fungere, men går inn i en degradert sikkerhetstilstand som blokkerer fremtidige boot-nivå-beskyttelser og OS-oppgraderinger som krever den nye tillitskjeden. Inventer flåten nå for enheter som ikke har mottatt rolloveren fra tidligere runder, særlig eldre maskinvare der OEM-firmware-oppdateringer har stoppet opp.

Hva vi anbefaler

Patch domenekontrollere og DNS-servere i dag. Send Office- og Microsoft 365 Apps-kumulativen til e-post-eksponerte endepunkter i samme vindu. Behandle internett-tilgjengelig on-premises Dynamics 365 med samme hastverk som domenekontroller-oppdateringene. Bekreft status på Secure Boot-sertifikatrolloveren på tvers av flåten før 26. juni, og eskaler enheter der 2023-sertifikatene ikke har landet fordi OEM-firmware-oppdateringer har stoppet opp. Hvis du kjører CrowdStrike Falcon og ikke har skrudd på Falcon Exposure Management for å vise antall uoppdaterte enheter per CVE for denne måneds release, er dette måneden å skru det på.

Snakk med Fredrik hvis du vil ha vår vurdering av prioritering for din stack.

Utkastet er skrevet med AI-assistanse, gjennomgått og redigert av Fredrik Standahl og FM-redaksjonen.

Kilder

• Microsoft Security Response Center, “A note on this month’s Patch Tuesday” (12. mai 2026)
• Microsoft Security Update Guide, msrc.microsoft.com/update-guide
• Microsoft Windows IT Pro Blog, “Act now: Secure Boot certificates expire in June 2026”
• Tenable, “May 2026 Microsoft Patch Tuesday addresses 118 CVEs”
• CrowdStrike, “May 2026 Patch Tuesday: Updates and Analysis”
• Cisco Talos Intelligence, “Microsoft Patch Tuesday for May 2026, Snort rules and prominent vulnerabilities”
• BleepingComputer, “Microsoft May 2026 Patch Tuesday fixes 120 flaws, no zero-days”
• The Hacker News, “Microsoft Patches 138 Vulnerabilities, Including DNS and Netlogon RCE Flaws”
• Krebs on Security, “Patch Tuesday, May 2026 Edition”
• Help Net Security, “Microsoft May 2026 Patch Tuesday, many fixes, but no zero-days”