Microsoft, Mayıs 2026 Patch Salı güncellemesi kapsamında toplam 120 CVE'yi giderdi. Bu güvenlik açıklarından 17'si kritik olarak sınıflandırılırken, 16'sı Microsoft'un yeni çok modelli yapay zeka güvenlik sistemi tarafından keşfedildi. Kritik açıklıkların 14'ü uzaktan kod yürütme (RCE), ikisi ayrıcalık yükseltme (EoP) ve biri bilgi ifşası zafiyeti olarak kaydedildi. Toplamda 120 CVE'nin çoğunluğu ise EoP (61), RCE (31) ve bilgi ifşası (14) türündeydi.
Rapid7'nin kıdemli yazılım mühendisi Adam Barnett, domain controller güvenliğinden sorumlu herkesin CVE-2026-41089'u öncelikli olarak düzeltmesi gerektiğini vurguladı. Bu kritik zafiyet, Windows Netlogon'da yığın tabanlı bir bellek taşması (buffer overflow) olup CVSS v3 temel skoru 9.8'dir ve saldırgana domain controller üzerinde sistem ayrıcalıkları kazandırabilir. Barnett, 'Çoğu sızma testçisi için müşteri raporu neredeyse kendiliğinden yazılır. Hiçbir ayrıcalık veya kullanıcı etkileşimi gerekmez, saldırı karmaşıklığı düşüktür; bu da belirli mekanizmayı bilen biri için güvenilir bir istismar oluşturmanın çok zor olmayacağını gösteriyor.' dedi.
Sistem yöneticilerinin öncelik vermesi gereken bir diğer zafiyet ise CVE-2026-41096: Windows DNS istemcisinde kritik bir RCE açığı ve CVSS puanı 9.8. Action1 güvenlik araştırmaları direktörü Jack Bicer, 'DNS, kurumsal ortamlarda kullanılan temel bir ağ hizmeti olduğu için istismar, çok sayıda sistemi hızla etkileyebilir. Başarılı saldırılar, yaygın uç nokta ele geçirme, fidye yazılımı dağıtımı, kimlik bilgisi toplama ve kurumsal ağlarda operasyonel kesintilere yol açabilir.' uyarısında bulundu. Bicer ayrıca Microsoft Dynamics 365 On-Premises'taki kritik RCE hatası CVE-2026-42898'e dikkat çekti. Bu açık, düşük ayrıcalıklı kimliği doğrulanmış bir saldırganın Dynamics CRM'deki işlem oturum verilerini manipüle ederek ağ üzerinden kötü amaçlı kod çalıştırmasına olanak tanıyor.
Rapid7'den Barnett, Microsoft'un Windows Saldırı Araştırma ve Koruma (WARP) ekibinin birden fazla kritik zafiyetle ilişkilendirildiğini belirterek, 'WARP ekibinin, Microsoft ürünlerine yönelik yapay zeka destekli güvenlik araştırmalarının mevcut durumu hakkında büyük olasılıkla çok şey bildiğini tahmin edebiliriz.' dedi. Microsoft, 12 Mayıs'ta yayımladığı blog yazısında WARP'ın Otonom Kod Güvenliği (ACS) ile iş birliği yaparak yeni bir ajan yapay zeka girişimi başlattığını ve bu sistemin bu ayki Patch Salı'da listelenen 16 CVE'yi keşfettiğini açıkladı. Microsoft Yapay Zeka Güvenliği Başkan Yardımcısı Taesoo Kim, MDASH kod adlı yeni 'ajan güvenlik koşum' sisteminin, birden fazla model üzerinde 100'den fazla özel ajan kullanarak yeni güvenlik açıklarını bulduğunu belirtti. Kim, 'Çoklu model ajan tarama koşumu, yapılandırılabilir bir model paneli çalıştırıyor. Bu panel, ağır muhakeme için SOTA modelleri, yüksek hacimli geçişler için maliyet etkin bir tartışmacı olarak damıtılmış modelleri ve bağımsız bir karşı nokta olarak ikinci bir ayrı SOTA modelini içeriyor. Modeller arasındaki anlaşmazlık başlı başına bir sinyaldir: bir denetçi bir şeyi şüpheli olarak işaretlediğinde ve tartışmacı bunu çürütemediğinde, o bulgunun sonraki güvenilirliği artar.' şeklinde konuştu.