Microsoft tetter 138 hull på én gang: To kritiske feil i Windows kan gi angripere full kontroll

Microsoft slapp 12. mai oppdateringer for 138 sårbarheter på tvers av Windows, Office, Azure og Dynamics 365. Av disse er 30 vurdert som kritiske, mens resten fordeler seg på alvorlighetsgradene viktig, moderat og lav, opplyser sikkerhetsselskapet Security Affairs.

Det er for første gang på nesten to år at Microsoft ikke samtidig må fikse en aktivt utnyttet nulldagssårbarhet, skriver Krebs on Security. Ingen av de 138 hullene var offentlig kjent eller under utnyttelse da rettelsene gikk ut.

Det betyr likevel ikke at oppdateringen kan vente. To av feilene gir uautentiserte angripere mulighet til å kjøre vilkårlig kode på sårbare maskiner, og begge har fått CVSS-score 9,8 av 10.

To nettverksfeil med wormable-potensial

Den ene kritiske feilen ligger i Windows Netlogon, protokollen som domenekontrollere bruker til å autentisere brukere og maskiner i et Active Directory-miljø. Sårbarheten, kjent som CVE-2026-41089, er en stack-basert bufferoverflyt. Ifølge Cisco Talos kan en angriper sende en spesielt utformet nettverksforespørsel til en Windows-server som fungerer som domenekontroller, noe som i praksis kan gi kontroll over serveren uten at angriperen behøver å logge inn først.

Den andre er CVE-2026-41096, en heap-basert bufferoverflyt i Windows DNS Client. Her holder det at maskinen mottar et spesielt utformet DNS-svar, for eksempel via en kompromittert DNS-tjener eller et man-in-the-middle-angrep, før angriperen kan kjøre kode på systemet. Begge feilene er regnet som «wormable», det vil si at de i prinsippet kan brukes til å spre seg automatisk fra maskin til maskin i et nettverk.

For bedrifter med Active Directory og interne DNS-tjenester er det disse to oppdateringene som haster mest. Microsoft har også rettet en kritisk feil i Dynamics 365 On-Premises (CVE-2026-42898) med CVSS-score 9,9, samt to alvorlige feil i Microsoft Word som kan utløses bare ved at en bruker ser et preparert dokument i Forhåndsvisning-ruten.

Slik sjekker du at PC-en er oppdatert

For privatbrukere skjer alt automatisk så lenge Windows Update er slått på. Du kan bekrefte status ved å åpne Innstillinger, gå til Windows Update og se etter «Du er à jour» med dagens dato. Hvis det står ventende oppdateringer, klikk Installer nå og start maskinen på nytt.

Bedriftskunder som styrer utrullingen via WSUS, Intune eller Configuration Manager bør prioritere Netlogon- og DNS-rettelsene på domenekontrollere og servere først, deretter klientmaskiner.

Secure Boot-fristen i slutten av juni

Mai-oppdateringen kommer samme måned som Microsoft minner brukere om en annen frist som nærmer seg raskt: Secure Boot-sertifikatene som har ligget i Windows-maskiner siden 2011, begynner å gå ut på dato i slutten av juni 2026.

Secure Boot er ifølge Microsoft en grunnleggende sikkerhetsfunksjon i Windows og Windows Server som beskytter mot ondsinnet kode allerede før operativsystemet starter. Funksjonen bygger på et sett sertifikater som nå må fornyes.

Microsoft har publisert konkrete utløpsdatoer: Microsoft Corporation KEK CA 2011 utløper 24. juni 2026, Microsoft UEFI CA 2011 går ut 27. juni, mens Microsoft Windows Production PCA 2011 holder til 19. oktober 2026. De nye 2023-sertifikatene rulles ut via vanlige månedlige Windows-oppdateringer.

For de fleste skjer overgangen i bakgrunnen. Microsoft skriver at de nye sertifikatene installeres automatisk gjennom den vanlige månedlige oppdateringsprosessen for de aller fleste private og bedrifter som lar Microsoft styre Windows-oppdateringer, og at det ikke kreves noen ekstra handling.

Hva som skjer hvis du ikke gjør noe

Maskiner som ikke får de nye sertifikatene før utløpsdatoen vil fortsatt starte opp og kjøre eksisterende programvare. Men de havner i det Microsoft kaller en svekket sikkerhetstilstand, og vil ifølge selskapet ikke lenger kunne motta nye beskyttelser for oppstartsprosessen, inkludert oppdateringer til Windows Boot Manager, Secure Boot-databaser, tilbakekallingslister eller rettelser for nyoppdagede sårbarheter på boot-nivå.

I praksis betyr det at oppstartsprosessen, det aller første som kjøres på maskinen, ikke lenger kan beskyttes mot nye trusler. Microsoft anbefaler at brukere i tillegg sjekker maskinprodusentens støttesider for eventuelle firmwareoppdateringer.