Microsoft Patch Tuesday – duben 2026: 167 záplat, 2 zero-days a kritická RCE v Windows IKE
Microsoft vydal v dubnu 2026 jednu z největších aktualizačních vln tohoto roku – 167 bezpečnostních záplat. Z toho 8 je kritických a dva zero-days jsou již aktivně zneužívány.
Nejzávažnější zranitelnosti měsíce
CVE-2026-33824 – Windows IKE Service Extensions (CVSS 9,8)
Kritická zranitelnost umožňující vzdálené spuštění kódu bez autentizace. Útočník může kompromitovat systém odesláním speciálně sestavených paketů na UDP porty 500/4500 (IKEv2). Doporučení: Okamžitá aktualizace, případně dočasně blokovat uvedené porty, pokud IKEv2 aktivně nevyužíváte.
CVE-2026-32201 – Microsoft SharePoint Server (CVSS 6,5)
Zero-day zranitelnost (XSS) aktivně zneužívaná ještě před vydáním záplaty. CISA ji ihned zařadila do katalogu KEV. Postiženy jsou verze SharePoint 2016, 2019 a Subscription Edition.
CVE-2026-33825 – Microsoft Defender (CVSS 7,8)
Zero-day eskalace privilegií na úroveň SYSTEM. Exploit (označovaný jako BlueHammer) byl veřejně dostupný již od začátku dubna. Záplata se distribuuje automaticky přes Defender Antimalware Platform.
Další významné záplaty
- CVE-2026-23666 – Denial of Service v .NET Frameworku
- Více zranitelností v Exchange Server, SQL Server, Azure Monitor Agent, BitLocker, Kerberos a Hyper-V
Dubnová aktualizace se týká prakticky všech podporovaných verzí Windows, Office, Exchange, SharePoint, Defender a dalších produktů.
Doporučení:
Všechny systémy aktualizujte co nejdříve, především servery s SharePointem a systémy s povoleným IKEv2.
Další články
CISA KEV – vydání 16b: Dvě nové aktivně zneužívané zranitelnosti
