Majowy Patch Tuesday i nowa era łatek . Czy AI zalewa nas lukami?

TL;DR: Majowy Patch Tuesday to ponad 100 poprawek od Microsoftu, w tym 16 krytycznych. Najważniejsze to luki w Netlogon (przejęcie kontrolera domeny) i wtyczce SSO do Atlassian (przejęcie Jira/Confluence). Po raz pierwszy od prawie dwóch lat nie ma aktywnie wykorzystywanych luk 0-day. Obserwujemy jednak zalew poprawek od wszystkich głównych dostawców (Apple, Mozilla), co jest prawdopodobnie efektem użycia AI do audytu kodu. Polskie zespoły IT muszą przygotować się na stały, wysoki wolumen łatek do wdrożenia.

W skrócie: Załataj w pierwszej kolejności kontrolery domeny (CVE-2026-41089) i wtyczkę Microsoft SSO dla Atlassian (CVE-2026-41103). Następnie przygotuj się na więcej, bo era audytów kodu wspomaganych przez AI właśnie się zaczęła.

Chwila oddechu i nowe wyzwania

Majowy cykl aktualizacji bezpieczeństwa, znany jako Patch Tuesday, przyniósł poprawki dla około 120 unikalnych luk w produktach Microsoftu ¹²³. Z tej puli, szesnaście zostało oznaczonych jako krytyczne ²⁴, co oznacza, że ich wykorzystanie może prowadzić do zdalnego wykonania kodu (RCE — Remote Code Execution) bez interakcji ze strony użytkownika ⁵.

Co jednak niezwykłe, to pierwszy Patch Tuesday od prawie dwóch lat, w którym Microsoft nie musiał gasić pożarów związanych z lukami typu zero-day, czyli takimi, które są już aktywnie wykorzystywane w atakach ⁶. Nie załatano również żadnych podatności, które zostały wcześniej publicznie ujawnione ⁷. To daje administratorom rzadką chwilę wytchnienia w porównaniu do kwietnia, kiedy to Microsoft załatał blisko rekordowe 167 luk ⁸.

Ten pozorny spokój jest jednak mylący. Analizując kluczowe poprawki, widzimy zagrożenia o najwyższym priorytecie, które wymagają natychmiastowej reakcji w każdej polskiej firmie korzystającej z ekosystemu Microsoft.

Krytyczne luki, które wymagają natychmiastowej uwagi

Spośród szesnastu krytycznych podatności, trzy wyróżniają się potencjalnym wpływem na infrastrukturę korporacyjną. Zespół Rapid7 odegrał znaczącą rolę w identyfikacji części z nich ⁹.

CVE-2026-41089: Przejęcie kontrolera domeny

To krytyczna luka typu przepełnienie bufora na stosie w usłudze Windows Netlogon ¹⁰. Pomyślne wykorzystanie tej podatności może dać atakującemu uprawnienia na poziomie SYSTEM na kontrolerze domeny ¹⁰. Mówiąc wprost: to klucze do królestwa w każdej sieci opartej o Active Directory. Co najgorsze, atak nie wymaga żadnych uprawnień ani interakcji użytkownika, a jego złożoność oceniono jako niską ¹¹. Poprawki są dostępne dla wszystkich wersji Windows Server od 2012 wzwyż ¹². Dla każdej polskiej firmy, której tożsamością zarządza lokalne AD, ta łatka powinna mieć priorytet zero.

CVE-2026-41103: Ominięcie uwierzytelniania w Jira i Confluence

To prawdopodobnie najciekawsza luka w tym miesiącu, oceniona na 9.1 w skali CVSS (Common Vulnerability Scoring System — skala 0-10 oceniająca powagę luki) ¹³. Dotyczy krytycznego błędu eskalacji uprawnień we wtyczce Microsoftu do obsługi SSO (Single Sign-On — logowanie do wielu systemów jednym kontem) dla produktów Atlassian – Jira i Confluence ¹³.

Luka może pozwolić nieautoryzowanemu atakującemu na podszycie się pod istniejącego użytkownika przez przedstawienie sfałszowanych poświadczeń, omijając w ten sposób mechanizmy weryfikacji tożsamości Entra ID ¹⁴. Atak jest możliwy do przeprowadzenia przez sieć, nie wymaga uprawnień ani interakcji użytkownika ¹⁵. Pomyślne wykorzystanie może dać dostęp do środowiska Jira lub Confluence z podwyższonymi uprawnieniami ¹⁶. Sam Microsoft ocenia prawdopodobieństwo wykorzystania jako wysokie ¹⁷¹⁵. To bezpośredni cios w polskie software house’y, działy R&D i każdą organizację, która opiera swoje procesy o te popularne narzędzia.

CVE-2026-41096: RCE w kliencie DNS

Trzecia warta uwagi luka to krytyczne RCE w implementacji klienta DNS (Domain Name System — system tłumaczący nazwy domen na adresy IP) w systemie Windows ¹⁸. Chociaż Microsoft ocenia prawdopodobieństwo jej wykorzystania jako „mniej prawdopodobne” ¹⁹, luki w tak fundamentalnym komponencie systemu operacyjnego nigdy nie powinny być ignorowane. Dotyczy to praktycznie każdej stacji roboczej i serwera z systemem Windows.

Szerszy obraz: Potop łatek napędzany przez AI

Liczby z tego miesiąca, choć wysokie, są częścią szerszego trendu. Obserwujemy, że najwięksi dostawcy oprogramowania, tacy jak Apple, Google, Microsoft, Mozilla i Oracle, naprawiają rekordowe liczby błędów i przyspieszają cykl wydawniczy ²⁰. Skąd ten nagły wzrost?

Odpowiedzią wydaje się być sztuczna inteligencja. Okazuje się, że platformy AI, choć same mogą być podatne na manipulacje ²¹, są niezwykle skuteczne w znajdowaniu luk bezpieczeństwa w kodzie napisanym przez ludzi ²².

Kluczową rolę odgrywa tu „Project Glasswing”, inicjatywa firmy Anthropic, do której wczesny dostęp uzyskało kilkudziesięciu gigantów technologicznych, w tym Microsoft ²³. Efekty widać gołym okiem:

• Mozilla: W zeszłym miesiącu wydała przeglądarkę Firefox 150, która naprawiała aż 271 luk, rzekomo odkrytych podczas ewaluacji w ramach Glasswing ²⁴. Od tego czasu Mozilla przeszła na bardziej agresywny, cotygodniowy cykl wydawania poprawek bezpieczeństwa.
• Apple: Firma, która również brała udział w projekcie ²⁵, zazwyczaj łatała średnio 20 luk w aktualizacjach iOS. Jednak 11 maja wydała poprawki dla co najmniej 52 podatności ²⁶, co stanowi ponad dwukrotny wzrost.

To zjawisko to miecz obosieczny. Z jednej strony, więcej znalezionych i załatanych luk może oznaczać bezpieczniejsze oprogramowanie dla wszystkich. Z drugiej, generuje to ogromną presję na zespoły IT i działy bezpieczeństwa, które muszą przetworzyć, przetestować i wdrożyć setki poprawek w krótkim czasie.

Co to oznacza dla polskiego administratora i CISO?

Nowa rzeczywistość, w której AI masowo odkrywa podatności, wymusza zmianę podejścia do zarządzania łatkami, szczególnie w kontekście polskiego rynku.

1. Koniec przewidywalności: Comiesięczny, rytualny Patch Tuesday przestaje być jedynym punktem odniesienia. Polskie firmy muszą być gotowe na częstsze, większe i nieregularne paczki aktualizacji od wszystkich kluczowych dostawców.

2. Priorytetyzacja to przetrwanie: Przy setkach łatek miesięcznie, próba wdrożenia wszystkiego na raz jest nierealna, zwłaszcza w sektorze MŚP. Kluczowe staje się błyskawiczne zidentyfikowanie tych 2-3 luk, które stanowią realne, bezpośrednie zagrożenie dla organizacji – jak wspomniane podatności w Netlogon i wtyczce SSO.

3. Presja regulacyjna: Dla podmiotów kluczowych i ważnych w rozumieniu dyrektywy NIS2 (unijna dyrektywa o bezpieczeństwie sieci), terminowe zarządzanie podatnościami jest obowiązkiem prawnym. Zalew łatek znacząco podnosi poprzeczkę w zakresie utrzymania zgodności i wymaga posiadania sprawnych, częściowo zautomatyzowanych procesów.

Co zrobić w 24-48h — plan działania

Biorąc pod uwagę powagę zagrożeń, rekomendujemy następujące kroki:

• Priorytet 0: Kontrolery domeny. Natychmiastowe wdrożenie poprawki dla CVE-2026-41089. Ryzyko kompromitacji całej domeny Active Directory jest zbyt wysokie, by czekać. Należy potraktować to jako incydent i działać poza standardowym oknem serwisowym.

• Priorytet 1: Jira/Confluence. Przeprowadzić audyt w poszukiwaniu wtyczki Microsoft SSO dla Atlassian. Jeśli jest używana, należy bezwzględnie zainstalować zaktualizowaną wersję, by załatać CVE-2026-41103.

• Priorytet 2: Stacje robocze i serwery. Zweryfikować, czy mechanizmy automatycznych aktualizacji (Windows Update, WSUS, itp.) działają poprawnie i dystrybuują poprawki do całej floty urządzeń. Dotyczy to m.in. luki w kliencie DNS (CVE-2026-41096).

• Krok strategiczny: Przegląd procesów. Potraktujmy ten miesiąc jako dzwonek alarmowy. To dobry moment, by zadać sobie pytanie: czy nasze obecne procesy zarządzania podatnościami są gotowe na erę, w której co miesiąc będziemy otrzymywać setki łatek od wielu dostawców? Jeśli nie, czas zacząć je przeprojektowywać.

Powyższe rekomendacje stanowią sugerowane podejście i nie zastępują pełnej analizy ryzyka ani konsultacji z ekspertami ds. bezpieczeństwa.

Źródła

Zobacz też

• Krytyczna luka RCE w Azure Orbital Spatio (CVE-2026-40412)
• Krytyczna luka w Entra ID (CVE-2026-42901): Eskalacja do admina
• CVE-2025-51427: RCE w ModelScope. Zagrożenie dla projektów AI

Footnotes

1. Microsoft wydał aktualizacje oprogramowania w celu usunięcia co najmniej 118 luk bezpieczeństwa w swoich systemach operacyjnych Windows i innych produktach. — https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ ↩

2. W maju 2026 roku Microsoft naprawił 121 luk, z czego 16 zostało ocenionych jako krytyczne. — https://www.lansweeper.com/blog/patch-tuesday/microsoft-patch-tuesday-may-2026/ ↩ ↩²

3. Microsoft May 2026 Patch Tuesday naprawia 120 luk, bez ujawnionych zero-dayów. — https://www.bleepingcomputer.com/news/microsoft/microsoft-may-2026-patch-tuesday-fixes-120-flaws-no-zero-days/ ↩

4. Szesnaście luk otrzymało oznaczenie Microsoftu jako „krytyczne”. — https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ ↩

5. Krytyczne luki mogą pozwolić złośliwemu oprogramowaniu lub przestępcom na przejęcie zdalnej kontroli nad podatnym urządzeniem z systemem Windows z niewielką lub żadną pomocą użytkownika. — https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ ↩

6. To pierwszy Patch Tuesday od prawie dwóch lat, podczas którego Microsoft nie dostarcza żadnych poprawek dotyczących luk zero-day, które są już wykorzystywane. — https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ ↩

7. Żadna z luk naprawionych w maju 2026 roku nie została wcześniej ujawniona. — https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ ↩

8. Majowy Patch Tuesday to wytchnienie po kwietniu, w którym Microsoft naprawił blisko rekordową liczbę 167 luk bezpieczeństwa. — https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ ↩

9. Rapid7 odegrało dużą rolę w identyfikacji niektórych z bardziej niepokojących krytycznych luk w maju 2026 roku. — https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ ↩

10. CVE-2026-41089 to krytyczny błąd przepełnienia bufora opartego na stosie w Windows Netlogon, który daje atakującemu uprawnienia SYSTEM na kontrolerze domeny. — https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ ↩ ↩²

11. Dla CVE-2026-41089 nie są wymagane żadne uprawnienia ani interakcja użytkownika, a złożoność ataku jest niska. — https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ ↩

12. Poprawki dla CVE-2026-41089 są dostępne dla wszystkich wersji Windows Server od 2012 roku wzwyż. — https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ ↩

13. CVE-2026-41103 to krytyczny błąd eskalacji uprawnień w wtyczce SSO firmy Microsoft dla Atlassian Jira i Confluence z wynikiem CVSS 9.1. — https://www.lansweeper.com/blog/patch-tuesday/microsoft-patch-tuesday-may-2026/ ↩ ↩²

14. CVE-2026-41103 to krytyczna luka eskalacji uprawnień, która pozwala nieautoryzowanemu atakującemu podszyć się pod istniejącego użytkownika, przedstawiając sfałszowane poświadczenia, omijając w ten sposób Entra ID. — https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ ↩

15. Luka CVE-2026-41103 jest możliwa do wykorzystania przez sieć, nie wymaga uprawnień ani interakcji użytkownika. — https://www.lansweeper.com/blog/patch-tuesday/microsoft-patch-tuesday-may-2026/ ↩ ↩²

16. Pomyślne wykorzystanie CVE-2026-41103 daje nieautoryzowanemu atakującemu dostęp do środowiska Jira lub Confluence na podwyższonym poziomie uprawnień. — https://www.lansweeper.com/blog/patch-tuesday/microsoft-patch-tuesday-may-2026/ ↩

17. Microsoft spodziewa się, że wykorzystanie CVE-2026-41103 jest bardziej prawdopodobne. — https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ ↩

18. CVE-2026-41096 to krytyczna luka RCE w implementacji klienta Windows DNS. — https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ ↩

19. Microsoft ocenia, że wykorzystanie CVE-2026-41096 jest mniej prawdopodobne. — https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ ↩

20. W maju 2026 roku Apple, Google, Microsoft, Mozilla i Oracle naprawiły rekordową liczbę błędów bezpieczeństwa i/lub przyspieszyły tempo wydawania poprawek. — https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ ↩

21. Platformy sztucznej inteligencji mogą być podatne na inżynierię społeczną, podobnie jak ludzie. — https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ ↩

22. Platformy sztucznej inteligencji są niezwykle skuteczne w znajdowaniu luk bezpieczeństwa w kodzie komputerowym stworzonym przez człowieka. — https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ ↩

23. Microsoft był wśród kilkudziesięciu gigantów technologicznych, którzy uzyskali dostęp do „Project Glasswing”, możliwości AI opracowanej przez Anthropic, która wydaje się skuteczna w odkrywaniu luk bezpieczeństwa w kodzie. — https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ ↩

24. W zeszłym miesiącu Mozilla wydała Firefoxa 150, który rozwiązał 271 luk, które podobno zostały odkryte podczas oceny Glasswing. — https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ ↩

25. Apple, kolejny wczesny uczestnik Project Glasswing, zazwyczaj naprawia średnio 20 luk za każdym razem, gdy wydaje aktualizację bezpieczeństwa dla urządzeń iOS. — https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ ↩

26. 11 maja Apple wydało aktualizacje, aby usunąć co najmniej 52 luki i przeniosło zmiany wstecz aż do iPhone’a 6s i iOS 15. — https://krebsonsecurity.com/2026/05/patch-tuesday-may-2026-edition/ ↩