Microsoft patcht 137 kwetsbaarheden en zet AI-scanner in

woensdag, 13 mei 2026 (09:55) - Techzine

In dit artikel:

Microsoft bracht in de Patch Tuesday van mei patches uit voor 137 kwetsbaarheden in Windows, Azure, Dynamics 365 en andere producten. Van die CVE’s zijn er 30 als ‘kritiek’ aangemerkt; veertien kregen een CVSS-score van ten minste 9.0 en één had de maximale 10.0 — die laatste is volgens Microsoft server-side opgelost in Azure DevOps. Er zijn nog geen meldingen van actief misbruik, maar onderzoekers waarschuwen dat meerdere lekken directe actie vereisen.

Het bedrijf zegt dat het aantal gevonden kwetsbaarheden groeit door inzet van automatisering en AI. Intern gebruikt Microsoft nu een AI-gestuurde scanomgeving met de codenaam MDASH; volgens bedrijfsmedewerkers heeft die tooling geholpen bij het ontdekken van zestien van de opgeloste problemen. Microsoft wil MDASH later beperkt als private preview aanbieden. De verwachting is dat Patch Tuesday-releases structureel groter en frequenter worden, met mogelijk vaker tussentijdse updates buiten het reguliere schema.

Bijzonder zorgwekkend is CVE-2026-41096, een remote code execution-lek in de Windows DNS Client (CVSS 9.8). Door een heap-based buffer overflow kan een kwaadaardig geprepareerde DNS-respons systemen overnemen zonder dat een gebruiker hoeft in te loggen of iets te doen. Omdat vrijwel alle Windows-machines de DNS Client gebruiken, is het risico op grootschalige compromittering hoog.

Een tweede prioriteit is CVE-2026-41089 in Windows Netlogon, eveneens met CVSS 9.8. Dit lek maakt het mogelijk om zonder credentials code uit te voeren op domaincontrollers via speciaal opgezette netwerkrequests en wordt door onderzoekers als potentieel wormable gezien — een type kwetsbaarheid dat zich snel door netwerken kan verspreiden.

Ook Dynamics 365 on-premises kreeg een serieuze patch: CVE-2026-42898 (CVSS 9.9) maakt remote code execution mogelijk voor geauthenticeerde gebruikers zonder verhoogde rechten, door gemanipuleerde sessiedata die door Dynamics CRM wordt verwerkt. Omdat impact buiten de direct getroffen component kan optreden, raden experts aan de update snel te testen en te deployen.

Kort samengevat: organisaties moeten de Patch Tuesday-updates snel doorvoeren en rekening houden met een hoger tempo van fixes en tussentijdse updates nu AI en automatisering meer kwetsbaarheden aan het licht brengen.