Microsoft a publicat pe 8 aprilie 2026 cea mai mare runda de patch-uri de la inceputul anului: 165 CVE-uri non-Edge, plus 78 vulnerabilitati Chromium in Edge rezolvate separat. Dintre cele 165, opt sunt rated Critical, una e exploatata activ (CVE-2026-32201 in SharePoint) si una e publicly disclosed cu exploit pe GitHub de pe 2 aprilie (CVE-2026-33825 in Microsoft Defender).
Pentru companiile in scope NIS2 (majoritatea cu peste 50 angajati sau infrastructura critica), aceasta runda nu mai e optionala. OUG 155/2024 cere documentare patch management si raportare incidente la DNSC in 24h dupa detectie. Daca un atacator exploateaza CVE-2026-32201 pe SharePoint-ul tau expus la internet si nu ai aplicat patch-ul, intra in scenariul "ineficacitate masuri tehnice" si e tratat ca incident obligatoriu de raportat.
Articolul de fata trece prin ce conteaza efectiv: cele doua zero-days, urmatoarele opt critice, si planul concret de deploy in 14 zile. Restul de aproape 150 CVE-uri sunt importante in agregat dar nu schimba ordinea de priorizare; le acoperi automat daca rulezi update-urile cumulative pe valuri.
Cele doua zero-days - prioritate maxima
CVE-2026-32201 - SharePoint Server, exploatata activ
Vulnerabilitatea e in Microsoft Office SharePoint Server si permite atacatorilor sa execute spoofing fara autentificare si fara interactiune utilizator. CVSS 6.5 (Important, nu Critical), dar Microsoft a confirmat exploatare in salbaticie, ceea ce rastoarna calculul risc. Pentru SharePoint-uri expose la internet, asta e "patch now". Pentru cele interne, cel putin "patch in 72h".
Microsoft nu a publicat detalii despre cum se exploateaza sau cine a raportat initial. Faptul ca e Important (nu Critical) dar exploatata activ sugereaza ca atacatorii folosesc-o in combinatie cu altceva pentru lateral movement sau recon. SharePoint 2016 ramane in extended support pana pe 14 iulie 2026 - dupa acea data, fara patch-uri.
Observatia mea dupa 30 ani de administrare e ca scorul CVSS conteaza mai putin decat statusul de exploatare. Un 6.5 exploatat in salbaticie e mai periculos azi decat un 9.8 teoretic care n-a vazut inca un PoC stabil. Calculatorul de risc real e CVSS plus EPSS plus context-ul tau (expune internet, valoare date, telemetrie). SharePoint care lasa autentificare Kerberos delegata catre file shares interne devine vector de pivot rapid - daca ai SharePoint expus, presupune ca a fost deja scanat.
Actiune recomandata
- Identifica toate instantele SharePoint din retea (on-prem si hybrid)
- Patch-uieste prioritar cele expose la internet (reverse proxy, WAF)
- Log-urile SharePoint audit pentru semne de spoofing in ultimele 30 zile (anomalii in conturi cu permisiuni ridicate)
- Daca ai SharePoint 2016, planifica migrare SharePoint Subscription Edition pana in iulie 2026
CVE-2026-33825 - Microsoft Defender, publicly disclosed (BlueHammer)
Elevation of Privilege in Microsoft Defender care da atacatorului SYSTEM privileges. CVSS 7.8, Important. Disclosed pe 2 aprilie cu exploit code publicat pe GitHub sub numele "BlueHammer" de researcher-ul Chaotic Eclipse - care si-a manifestat frustrarea fata de procesul Microsoft de disclosure. Cand ai exploit pe GitHub cu 5 zile inainte de patch, asta e definitia zero-day.
Ce trebuie sa stii
Defender se auto-actualizeaza prin Microsoft Defender Antimalware Platform, deci la majoritatea clientilor update-ul se aplica fara interventie. Verifica totusi ca serviciul e functional si auto-update nu e dezactivat de un GPO sau politica intune gresita. Sistemele cu Defender dezactivat (rulau alternative third-party) nu sunt expuse.
Pentru audit rapid pe parc: Get-MpComputerStatus prin PowerShell remoting iti da AntivirusEngineVersion si AntispywareSignatureVersion pe toate masinile in cateva minute. Comparat cu versiunea curenta publicata de Microsoft, identifici imediat ce e in urma. La clientii nostri rulam scriptul nightly si alertam daca o statie are signature mai vechi de 7 zile - de regula, e fie un GPO uitat, fie o masina deconectata mult timp, fie un agent EDR third-party care a luat controlul WDAPI fara configurare corecta.
Vulnerabilitatile critice cu impact ridicat
CVE-2026-33824 - IKE IPsec, RCE unauthenticated CVSS 9.8
Double free in Windows Internet Key Exchange (IKE) Service Extensions, component IKEv2. Un atacator neautentificat poate executa cod prin pachete crafted catre o masina cu IKEv2 enabled. CVSS 9.8 inseamna cea mai serioasa categorie. Mitigare rapida pana la patch: block UDP 500 si 4500 pe firewall pentru sistemele care nu folosesc IPsec VPN.
In practica, nu e la fel de apocaliptic cum suna. IKE nu e enabled by default pe majoritatea masinilor Windows Server. E relevant doar pentru site-to-site VPN sau Windows Always On VPN backend. La clientii nostri cu VPN IPsec pe MikroTik sau Fortigate, nu-i afectat - sunt afectati doar cei cu VPN native Windows. Verificati "Routing and Remote Access Service" daca ruleaza si daca IKEv2 e bound pe interfete publice.
CVE-2026-33826 - Active Directory RCE, CVSS 8.0
Remote Code Execution in Windows Active Directory, improper input validation. Atacator autentificat cu privilegii scazute poate rula cod arbitrar pe adjacent network, fara user interaction. CVSS 8.0 Critical, Microsoft rated "Exploitation More Likely".
Cerinta "adjacent network" limiteaza exploatarea directa prin internet, dar dupa un initial access in reteaua interna (phishing, VPN compromis, insider), AD devine target natural pentru privilege escalation si persistence. Pentru mediile enterprise, asta e patch-uit in primele 24h din ferestrele de mentenanta.
Inainte de patch pe DC, regula nenegociabila: backup System State plus Active Directory database (ntds.dit) plus SYSVOL. Nu te bazezi doar pe snapshot-uri Hyper-V sau VMware - rollback prin snapshot pe un DC corupe USN si declanseaza lingering objects daca exista alti DC in domeniu. Patch-uieste intotdeauna primul un DC care nu e FSMO holder, asteapta 24h, observa replicarea, abia apoi continui pe restul.
CVE-2026-33827 - Windows TCP/IP, race condition RCE
Vulnerabilitate in stack-ul TCP/IP Windows, race condition care permite RCE unauthenticated. CVSS 8.1. Attack complexity high - ceea ce inseamna ca exploatarea practica e dificila, dar nu imposibila. In trecut, vulnerabilitati similare TCP/IP au devenit wormable dupa cateva saptamani de reverse engineering. Patch-uiti in fereastra de mentenanta normala, dar nu amanati peste 2 saptamani.
Pentru servere fata-n fata cu internetul (mail gateways, reverse proxies, RDP gateways), abordarea defensiva nu se opreste la patch. Restrictionarea source IP la nivel de firewall pentru servicii de management si segmentarea VLAN intre DMZ si LAN reduc impactul exploatarii indiferent de starea patch-urilor. Daca un CVE TCP/IP devine wormable peste o luna, masinile interne nu sunt expuse direct - asta e diferenta intre un incident contained si un domain-wide compromise.
CVE-2026-33114 si CVE-2026-33115 - Microsoft Word RCE (2 separate)
Doua vulnerabilitati distincte in Microsoft Word, ambele untrusted pointer dereference / use-after-free cu rezultat code execution local. Atac remote dar cod trebuie executat local (deci scenarii phishing cu document Word atasat). Nu sunt zero-day, dar CVE-uri Word sunt exploatate constant in campanii de phishing business. Patch-uiti Office in toate statiile de lucru, nu doar serverele.
Cumulative: Word, Office RCE in general (CVE-2026-32190), plus Remote Desktop Client RCE (CVE-2026-32157) - toate in aceeasi clasa. Daca nu ai deja un process de patching la endpoints (Intune, WSUS, SCCM, ManageEngine), acum e momentul. Manual patching pentru 850+ statii e nesustenabil.
Click-to-Run pentru Microsoft 365 Apps simplifica situatia - update-urile vin pe canalul configurat (Current, Monthly Enterprise, Semi-Annual) si se aplica la urmatoarea relansare a aplicatiei. Pentru Office perpetual (LTSC, 2019, 2021), depinzi de WSUS sau update direct. La clientii care inca au Office 2019 perpetual, recomandarea standard e migrare catre Microsoft 365 Apps - nu pentru ca e mai bun, ci pentru ca lifecycle-ul de patch-uri e mai previzibil si nu te trezesti cu o luna in care nu se aplica nimic.
Vulnerabilitati importante de urmarit
CVE-2026-27913 - BitLocker Secure Boot bypass
Security Feature Bypass in BitLocker care permite ocolirea Secure Boot. CVSS 7.7, Important. Microsoft assess "Exploitation More Likely". Pentru laptop-uri cu BitLocker si date sensibile (healthcare, financial), asta e patch-uit rapid. Atacatorul are nevoie de acces fizic scurt la device, dar un laptop pierdut sau furat cu aceasta vulnerabilitate nu mai e "safe" doar pentru ca e criptat.
CVE-2026-26151 - Remote Desktop spoofing
Spoofing in Remote Desktop care exploateaza fisiere RDP malicious. Microsoft a adaugat warning dialog mai clar cand user-ul incearca sa deschida fisier RDP din sursa necunoscuta. Incepand cu April Update, Remote Desktop prompt-uieste user-ul cu toate detaliile conexiunii inainte sa ruleze. Daca ai RDP farms sau useri care primesc fisiere .rdp de la externi, patch-uieste si comunica userilor sa citeasca dialog-ul nou.
Alte EoP worth mentioning
Cateva EoP cu "Exploitation More Likely" care merita bifate: CVE-2026-27909 (Windows Search Service), CVE-2026-27914 (MMC), CVE-2026-32070 (Common Log File System Driver), CVE-2026-32152 si 32154 (Desktop Window Manager). Sunt rated Important, nu Critical, dar in chains de exploatare dupa initial access, driver-urile astea sunt escaladare de privilegii standard. Patch-uite in ferestre normale.
CLFS in special are istoric urat - in ultimii doi ani au fost patru CVE-uri exploatate de ransomware (Black Basta, Play, Nokoyawa) ca ultim pas de privilege escalation inainte de criptare. Nu e o coincidenta ca apare iar pe lista. Daca rulezi un EDR cu detectie comportamentala, alertele pe procese non-standard care fac apeluri masive catre BLF/CLFS sunt indicator timpuriu si trebuie investigate ca prioritate.
Ce facem azi, ce facem saptamana viitoare
Nu patch-uiesti 165 CVE-uri in 24h pe un environment productiv fara sa strici ceva. Ordinul de prioritate pe care il folosim la SecureNET:
Azi (0-24h)
- CVE-2026-32201 pe toate SharePoint-urile expose la internet (patch sau izolare la WAF)
- CVE-2026-33825 - verificare ca Defender auto-update a functionat in ultimele 48h
- Backup verificat al domain controllers inainte sa atingi AD
Saptamana 1 (0-7 zile)
- CVE-2026-33824 IKE IPsec pe serverele cu VPN Windows native
- CVE-2026-33826 Active Directory RCE pe toti DC
- CVE-2026-33827 TCP/IP pe servere expose la internet direct
- Patch-uri Office/Word la 10% din endpoint-uri (test group)
Saptamana 2 (7-14 zile)
- Rollout patch-uri Office la restul endpoint-urilor pe valuri
- Patch-uri EoP Windows (Search, MMC, drivers)
- CVE-2026-27913 BitLocker pe laptop-uri
Dupa 14 zile
Orice sistem nepatcat dupa 14 zile intra in categoria "risc inacceptabil" si trebuie izolat sau escalated la management. Pentru companiile NIS2, asta trebuie documentat in registrul de risc.
Implicatii NIS2 pentru companii romanesti
Conform OUG 155/2024 si Directivei NIS2, operatorii de servicii esentiale si importante trebuie sa documenteze procesul de patch management si sa raporteze incidente semnificative la DNSC in maximum 24h de la detectia preliminara.
Ce inseamna practic pentru aceasta runda de patch-uri: daca sistemul tau e vulnerabil la CVE-2026-32201 (SharePoint exploatat activ) si detectezi o tentativa de exploit, asta e incident de raportat. Daca nu ai patch-uit in 72h si se confirma compromis, poti fi tras la raspundere pentru "neglijenta in masuri tehnice rezonabile".
Pentru companiile care nu sunt inca clarificate daca sunt in scope NIS2: daca ai peste 50 angajati sau furnizezi servicii IT pentru operatori critici, probabil da. Consultarea listei publice de sectoare critice si DPA-ul NIS2 al DNSC iti da raspunsul in 30 minute.
Documentarea procesului nu inseamna o procedura de 40 pagini scrisa in Word. Inseamna ca poti raspunde in scris la trei intrebari: cine decide ce se patch-uieste si in ce ordine, cat de repede dupa publicare, si cum dovedesti ca s-a aplicat. Un export simplu din WSUS sau Intune cu data de aplicare per masina, plus un changelog cu deciziile (de exemplu "CVE-2026-33824 amanat 7 zile pentru DC pana la fereastra de mentenanta din 15 aprilie"), satisface cerinta. Auditorul DNSC vrea sa vada ca exista proces, nu sa-i predai un manual.
Recomandari de implementare
Orice patch masiv ca asta trebuie testat pe un set limitat de masini inainte de rollout general. La noi, procesul standard e: ziua 0 patch pe 5% din endpoint-uri (IT team), ziua 3 patch pe 25% (power users), ziua 7 rollout general daca nu au aparut probleme. Pentru servere, ferestre de mentenanta planificate, nu niciodata weekend-ul Patch Tuesday.
Fiecare deployment are un rollback plan scris. Windows Update cumulative nu se dezinstaleaza usor - de asta avem snapshots pre-patch la Hyper-V si System State backup inainte de orice runda majora de patch-uri. Un patch failed care blocheaza un DC fara backup costa mai mult decat o vulnerabilitate exploatabila.
Comunicare catre utilizatori cu 48h inainte: "Patch-urile de securitate Microsoft vor fi aplicate in fereastra X-Y. Sistemul va restart. Salvati-va lucrul." Nu e peer-review stiintific, dar reduce 50% din ticket-urile "mi-a restartat pc-ul si mi-am pierdut lucrul".
Inca o nota din practica: monitorizati explicit reboot pending pe servere dupa patch. Windows Update raporteaza "succes" dar lasa frecvent un PendingFileRenameOperations care nu se finalizeaza pana la restart. Daca te bazezi pe dashboard-ul WSUS sau Intune ca masura de complianta fara sa verifici reboot-ul, poti avea servere "patched" in raport care de fapt ruleaza inca binarele vechi pana la urmatorul restart planificat - o luna mai tarziu. Un script PowerShell care interogheaza Get-PendingReboot si trimite alerta dupa 72h fara restart elimina aceasta zona gri.
Linkuri si resurse oficiale
Pentru analiza completa, urmariti sursele oficiale: Microsoft Security Update Guide pentru detaliile fiecarui CVE, SANS ISC pentru analiza rapida, Tenable si Rapid7 pentru context de exploatare. Pentru companiile in Romania in scope NIS2, DNSC publica lunar recomandari prioritizate.
- Microsoft Security Update Guide: https://msrc.microsoft.com/update-guide
- SANS ISC: https://isc.sans.edu/
- DNSC portal raportare: https://dnsc.ro
Daca administrezi infrastructura unei companii in scope NIS2 si nu ai echipa dedicata pentru patch management prioritizat, SecureNET Systems ofera serviciu de vulnerability management cu SLA de 48h pentru zero-days exploatate activ si 14 zile pentru Critical RCE. Contactati-ne pentru o discutie despre ce ar insemna pentru infrastructura voastra.
