A Microsoft májusi Patch Tuesday csomagja első ránézésre nem tűnt különösebben drámainak, de az azóta eltelt napok megmutatták, hogy a csend néha csak átmeneti. A javítócsomag után sorra kerültek elő olyan problémák, amelyek a Microsoft alapvető biztonsági termékeit és vállalati rendszereit érintik: az Exchange Server egy kritikus sérülékenységét már aktívan kihasználják, a Defenderben több hibát is javítani kellett, a BitLocker ellen pedig nyilvánosságra került egy YellowKey nevű megkerülési módszer. Ez nem egyetlen nagy összeomlás, hanem több külön incidens egymás után, pont azokban a komponensekben, amelyekre a cégek és felhasználók biztonsági alapként tekintenek. A legsürgetőbb ügy az Exchange Serverhez kötődik. A CVE-2026-42897 jelű sérülékenység az on-premises Exchange Server 2016, 2019 és Subscription Edition rendszereket érinti, az Exchange Online viszont a beszámolók szerint nem tartozik az érintett termékek közé. A Microsoft május 14-én külön blogbejegyzésben írt a hibáról, amely az Outlook Web Access felületéhez kapcsolódik, és a cég szerint az Exchange Emergency Mitigation szolgáltatás automatikus enyhítést adhat, ha az aktív és megfelelően működik. Teljes biztonsági frissítés azonban a PCWorld összefoglalója szerint a cikk megjelenésekor még nem volt hozzá, ezért az adminisztrátoroknak azonnali mitigációval és a támadási felület csökkentésével kell dolgozniuk.
A hiba azért különösen kellemetlen, mert az Exchange hosszú évek óta kiemelt célpont a támadóknál, és egy vállalati levelezőrendszer kompromittálása ritkán áll meg egyszerű kellemetlenségnél. A Help Net Security szerint a sérülékenységet már éles támadásokban is kihasználják, Microsoft pedig kritikus besorolást adott neki. Egy Exchange-hiba nemcsak levelekhez, hanem hitelesítési folyamatokhoz, belső kommunikációhoz és későbbi adathalász vagy oldalirányú mozgást segítő támadásokhoz is kapcsolódhat, ezért itt nem érdemes megvárni a következő szokásos javítási kört. Közben a Microsoft Defender sem úszta meg. A Microsoft Malware Protection Engine több sérülékenységét is javítani kellett, köztük a CVE-2026-41091-et, amely helyi jogosultságszint-emelést tehet lehetővé, valamint a CVE-2026-45498-at, amely szolgáltatásmegtagadási állapotot idézhet elő. A TechRadar és a Help Net Security összefoglalója szerint mindkét hibát aktívan kihasználják, a CISA pedig felvette őket az ismerten kihasznált sérülékenységeket gyűjtő katalógusába. A javított Malware Protection Engine-verzió az 1.1.26040.8, ezért érdemes ellenőrizni, hogy a Defender automatikus frissítése valóban megérkezett-e a gépre.
A Defender-ügy azért bosszantó, mert a felhasználók jelentős része pont ezt a beépített védelmet kezeli alapértelmezett biztonsági hálóként. Ha egy támadó olyan hibát talál benne, amellyel jogosultságot tud emelni, vagy működésképtelenné tudja tenni a védelmet, az sokkal nagyobb mozgásteret ad neki egy már megkezdett támadásban. A legtöbb otthoni felhasználónál a frissítés automatikusan települ, de vállalati környezetben, menedzselt végpontokon és szigorúbb frissítési szabályok mellett nagyon is előfordulhat, hogy külön ellenőrizni kell az engine-verziót. A BitLocker körül a YellowKey nevű sebezhetőség okozott újabb kellemetlen fejtörést. A CVE-2026-45585 jelű hiba lényege, hogy fizikai hozzáféréssel és egy előkészített USB-meghajtóval megkerülhető lehet a BitLocker védelme bizonyos Windows-rendszereken, különösen akkor, ha a titkosítás TPM-only módban működik PIN nélkül. A Microsoft tud a nyilvánosan közzétett proof-of-conceptről, az NVD bejegyzése pedig azt is rögzíti, hogy a cég szerint a PoC publikálása sértette a koordinált sérülékenységkezelési gyakorlatot.
A YellowKey nem távoli, interneten át azonnal tömegesen kihasználható támadás, mert fizikai hozzáférés kell hozzá a géphez. Ettől még nem szabad legyinteni rá, mert a BitLocker lényege éppen az, hogy egy elveszett, ellopott vagy rövid időre illetéktelen kézbe kerülő laptop adatai ne legyenek könnyen hozzáférhetők. A Windows Central és a PC Gamer beszámolói szerint a Microsoft mitigációkat adott, a szakértők pedig különösen a TPM+PIN használatát emelik ki, mert a pusztán TPM-re épített védelem kényelmesebb ugyan, de több ilyen jellegű fizikai támadási útvonalat hagyhat nyitva. A Microsoft Authenticator appban is előkerült egy komoly információszivárgási sérülékenység. A CVE-2026-41615 bejegyzése szerint a hiba érzékeny információk illetéktelen hozzáférését teheti lehetővé, az NVD pedig magas súlyosságú, hálózaton keresztül kihasználható sérülékenységként írja le. Mivel az Authenticator sok cégnél és felhasználónál a többfaktoros belépés egyik központi eleme, az app frissítése legalább annyira fontos, mint a Windows vagy a Defender naprakészen tartása.
A Microsoft Edge kapcsán közben egy korábbi döntést kellett visszafogni. A PCWorld szerint a böngésző korábban a mentett jelszavakat plain text formában töltötte be a memóriába, hogy gyorsabban hozzáférjen hozzájuk, Microsoft azonban a május 15-i Edge-frissítéssel óvatosabb kezelésre váltott. Ez nem ugyanaz a kategória, mint egy aktívan kihasznált Exchange-hiba, de jól mutatja, hogy a kényelmi döntések és a biztonsági elvárások között mennyire vékony a határ, főleg olyan szoftvernél, amelyben rengeteg felhasználó tárol belépési adatokat.
A kép így elég kellemetlenül áll össze. Az Exchange-nél mitigálni kell, mert a teljes javításra még várni kellhet, a Defendernél ellenőrizni kell az engine-frissítést, az Authenticator appokat mobilon is naprakészen kell tartani, a BitLockernél pedig érdemes újragondolni, elég-e a TPM-only mód azoknál a gépeknél, amelyek érzékeny adatokat visznek magukkal. A májusi Patch Tuesday tehát lehet, hogy papíron nyugodtnak indult, de a Microsoft ökoszisztémájában azóta több olyan repedés is láthatóvá vált, amelyet rendszergazdai oldalon nem lehet egyetlen "majd jövő kedden frissítünk" vállrándítással elintézni.
