Czerwiec 2026 przyniósł rekordowy Patch Tuesday Microsoftu, ponad 200 poprawek i sześć luk typu zero-day. Jedna z nich była już aktywnie wykorzystywana w atakach na serwery Exchange, a kilka kolejnych to gotowe „cegiełki” do przejęcia pełnej kontroli nad Windows. Oto, co najważniejsze dla firm.
Exchange Server, przejęcie sesji przez e-mail (CVE-2026-42897, CVSS 8,1)
Najpoważniejsza, bo realnie wykorzystywana, luka tego miesiąca dotyczy lokalnych serwerów Microsoft Exchange (2016, 2019, Subscription Edition). To błąd typu spoofing/XSS w Outlook Web Access: odpowiednio spreparowana wiadomość uruchamia skrypt w przeglądarce ofiary w zaufanym kontekście poczty, co otwiera drogę do kradzieży sesji i danych.
- Status: aktywnie wykorzystywana; w katalogu CISA KEV. Łatka w Patch Tuesday z 9 czerwca 2026 r. (wcześniej dostępne były tylko doraźne mitygacje).
- Komu zagraża: każdej firmie z lokalnym Exchange udostępniającym pocztę webową (OWA).
BitLocker do obejścia (CVE-2026-45585 „YellowKey” oraz CVE-2026-50507)
Dwie luki pozwalają obejść szyfrowanie dysków BitLocker przy fizycznym dostępie do urządzenia, istotne w modelu zagrożeń „zgubiony lub skradziony laptop” oraz tzw. evil maid. Dla firm z flotą laptopów to przypomnienie, że samo szyfrowanie nie wystarcza bez aktualnego firmware i poprawnej konfiguracji.
„HTTP/2 Bomb” i eskalacje uprawnień
- CVE-2026-49160 („HTTP/2 Bomb”), błąd w komponencie HTTP.sys pozwala zdalnie wywrócić usługi webowe Windows spreparowanymi zapytaniami HTTP/2 (atak typu DoS).
- CVE-2026-45586, eskalacja uprawnień do poziomu SYSTEM przez komponent CTFMON; typowy „drugi krok” po wejściu na stację roboczą.
- CVE-2026-45657, krytyczna (CVSS 9,8), „robakowata” luka w jądrze i stosie TCP/IP Windows, umożliwiająca zdalne wykonanie kodu bez interakcji użytkownika. Ataków jeszcze nie potwierdzono, ale jej profil (możliwość samorozprzestrzeniania) czyni ją priorytetem „załataj, zanim ktoś ją uzbroi”.
Zero-daye w samym Microsoft Defender (CVE-2026-41091 i CVE-2026-45498)
Wcześniej, w maju, Microsoft naprawił dwie aktywnie wykorzystywane luki w Microsoft Defender: eskalację uprawnień (CVE-2026-41091, „RedSun”) oraz atak wyłączający ochronę (CVE-2026-45498, „UnDefend”). Obie trafiły do katalogu CISA KEV. Poprawka przyszła automatycznie z aktualizacją silnika Defendera (1.1.26040.8), warto jednak zweryfikować wersję silnika na maszynach zarządzanych i odizolowanych od sieci.
Wniosek: łatanie to proces, nie jednorazowa akcja
Rekordowy Patch Tuesday pokazuje skalę problemu: krytyczne luki pojawiają się szybciej, niż wiele firm potrafi je wdrażać. Liczy się uporządkowany proces zarządzania podatnościami, inwentaryzacja, priorytetyzacja, terminowe wdrożenia i weryfikacja skuteczności.
Jak Octopus Lab pomaga nad tym zapanować
- Audyt bezpieczeństwa IT i zgodności, ocena procesu aktualizacji, konfiguracji Exchange i Windows oraz odporności organizacji, zakończona czytelnym raportem i planem naprawy.
- Testy penetracyjne, sprawdzamy, jak daleko zajdzie atakujący po wykorzystaniu takiej luki (np. eskalacja do SYSTEM, ruch boczny). Zobacz: rodzaje i proces testów penetracyjnych.
- Biały wywiad (OSINT), ustalamy, które Twoje serwery (np. Exchange/OWA) są widoczne z internetu i jak prezentują się z perspektywy napastnika.
Chcesz uporządkować zarządzanie podatnościami? Umów bezpłatną konsultację.
Autor
Dominik Rulkiewicz
IT Security Manager · Octopus Lab
Ekspert cyberbezpieczeństwa z ponad 10-letnim doświadczeniem w sektorach regulowanych (ubezpieczenia, farmacja, logistyka). Process Owner ds. zarządzania podatnościami i hardeningu w Grupie ERGO, Audit Lead ISO 27001. Specjalizuje się w testach penetracyjnych, audytach bezpieczeństwa oraz zgodności z NIS2, DORA, ISO 27001 i RODO.
Certyfikaty: ISC2 CC · Cybersecurity Blue Team (Uniwersytet Jagielloński) · ITIL v4 · Microsoft Azure (AZ-900)
