Na osflux.pl wspomniany już było co nowego dostaje użytkownik Windows 11 w tym miesiącu — Smart App Control bez reinstalacji, opisywanie obrazów przez Narratora na każdym sprzęcie, obsługa monitorów 1000 Hz. Przeczytaj to najpierw jeśli interesuje cię co się zmieniło w systemie.
Ten wpis jest o czymś innym. O tym co w tym samym Patch Tuesday powinno zatrzymać uwagę osoby myślącej o bezpieczeństwie — i dlaczego dwa spośród 167 załatanych błędów są warte więcej uwagi niż pozostałe 165 razem wzięte.
167 podatności, jeden priorytet
Microsoft wydał 14 kwietnia 2026 aktualizacje zamykające 167 luk bezpieczeństwa. To drugie co do wielkości wydanie miesięczne w historii firmy. Osiem błędów oznaczono jako krytyczne, większość pozostałych jako istotne. Zdalnego wykonania kodu dotyczy dwadzieścia z nich.
Przy takiej liczbie pojawia się naturalne pytanie: od czego zacząć? Odpowiedź jest prosta: od tych, które były już exploitowane zanim pojawiła się łatka.
Jest jeden taki błąd w tym wydaniu.
CVE-2026-32201: SharePoint atakowany, zanim Microsoft wydał poprawkę
CVE-2026-32201 to luka w Microsoft SharePoint Server. Ocena CVSS: 6.5 — na papierze brzmi to jak "istotna, ale nie pilna". W praktyce jest odwrotnie.
Przyczyna: nieprawidłowa walidacja danych wejściowych pozwala nieuwierzytelnionemu atakującemu na sfałszowanie treści przez sieć — w tym wstrzyknięcie złośliwych skryptów wykonywalnych w przeglądarce użytkownika odwiedzającego stronę SharePoint. Atakujący może wykraść ciasteczka sesji, tokeny uwierzytelniające, wykonać przekierowania phishingowe lub dostarczyć dodatkowe ładunki złośliwego oprogramowania. Nie potrzebuje konta, nie potrzebuje żadnych uprawnień — potrzebuje tylko dostępu sieciowego do instancji SharePoint.
Najważniejszy fakt: podatność była aktywnie exploitowana w atakach zanim Microsoft wydał poprawkę. Trafił już do katalogu aktywnie exploitowanych podatności prowadzonego przez CISA, a agencje federalne Stanów Zjednoczonych mają obowiązek wdrożyć łatkę do 28 kwietnia.
Niski wynik CVSS jest tu mylący i jest dobrym przykładem ograniczeń tego systemu oceny. CVSS mierzy techniczne właściwości podatności — nie mierzy tego czy ktoś już jej używa w atakach. Ta podatność dostała 6.5 bo nie wpływa na dostępność systemu i wymaga pewnych warunków sieciowych. Ale fakt aktywnej eksploitacji sprawia, że w praktyce jest pilniejsza niż wiele błędów z oceną 9.0 bez potwierdzonych ataków.
Instancje SharePoint wystawione bezpośrednio na internet są w największym ryzyku. SharePoint często łączy się z usługami katalogowymi, wewnętrznymi narzędziami do współpracy i zasobami sieciowymi — przejęcie sesji użytkownika przez XSS to potencjalny punkt wejścia głębiej do infrastruktury.
CVE-2026-33825: exploit na Defender przez jedenaście dni bez łatki
Drugi zero-day jest innego rodzaju. CVE-2026-33825 to luka eskalacji uprawnień w platformie oprogramowania antywirusowego Microsoft Defender — pozwala lokalnym atakującym podnieść uprawnienia do poziomu SYSTEM, czyli pełnej kontroli nad maszyną.
Ocena CVSS: 7.8. Podatność była publicznie znana zanim Microsoft wydał poprawkę.
Szczegół wart zatrzymania: badacz ukrywający się pod pseudonimem "Chaotic Eclipse" opublikował działający kod exploita o nazwie BlueHammer na GitHubie 3 kwietnia — jedenaście dni przed Patch Tuesday. W momencie publikacji łatki nie było. Kod był dostępny publicznie przez prawie dwa tygodnie.
Tenable w swojej analizie łączy ten exploit wprost z podatnością CVE-2026-33825, choć Microsoft w swoim komunikacie nie wskazał nazwy exploita. Badacz wyraził publicznie zastrzeżenia wobec sposobu w jaki Microsoft obsłużył proces odpowiedzialnego ujawniania.
Microsoft nie potwierdził aktywnej eksploitacji tej luki — ale przez jedenaście dni z publicznym kodem exploita granica między "publicznie znana" a "aktywnie exploitowana" jest bardzo cienka. Defender aktualizuje platformę antymalware automatycznie i niezależnie od Patch Tuesday, więc wiele systemów może mieć już zaktualizowaną wersję 4.18.26030.3011 zawierającą poprawkę — ale warto to zweryfikować, szczególnie na maszynach z wyłączonymi automatycznymi aktualizacjami Defendera.
Dwa dodatkowe błędy warte uwagi
Poza dwoma zero-dayami są w tym wydaniu dwa błędy, które zasługują na osobne wymienienie.
CVE-2026-33827 — zdalne wykonanie kodu w stosie TCP/IP systemu Windows, ocena CVSS 8.1. Atakujący nieuwierzytelniony może wykonać kod zdalnie bez interakcji użytkownika na systemach z włączonym IPv6 i IPSec. Analitycy Tenable oznaczyli ten błąd jako potencjalnie podatny na działanie robaka sieciowego — mechanizmu samodzielnej propagacji bez udziału użytkownika. Microsoft ocenia eksploitację jako mniej prawdopodobną ze względu na stan wyścigu, ale błędy tego typu historycznie bywają eksploitowane po opublikowaniu poprawki przez inżynierię wsteczną łatki.
CVE-2026-33826 — zdalne wykonanie kodu w usłudze Active Directory systemu Windows, ocena CVSS 8.0, oznaczony przez Microsoft jako "eksploitacja bardziej prawdopodobna". Uwierzytelniony atakujący może wykonać złośliwy kod zdalnie. W środowiskach korporacyjnych gdzie Active Directory jest sercem zarządzania tożsamością i dostępem, błędy w tej usłudze są szczególnie wrażliwe.
Dlaczego CVSS to niepełna mapa
Kwiecień 2026 jest dobrą ilustracją strukturalnego problemu z oceną CVSS jako jedynym wskaźnikiem priorytetu aktualizacji.
CVE-2026-32201 w SharePoint dostało 6.5 — i jest najważniejszą łatką w tym wydaniu, bo ktoś już jej używa w atakach. CVE-2026-33824 w usłudze IKE dostało 9.8 — i na ten moment nie ma potwierdzonych ataków.
Jeden punkt widzenia — wynik CVSS — daje odwróconą kolejność priorytetów. Dziś, gdy pisaliśmy o decyzji NIST o ograniczeniu uzupełniania bazy podatności, pojawia się dodatkowy kontekst: system oceny podatności, na którym opiera się całe zarządzanie priorytetami aktualizacji, jest niekompletny nie tylko technicznie — ale też przeciążony ilością danych do przetworzenia.
Katalog KEV prowadzony przez CISA, który zawiera wyłącznie podatności z potwierdzonym aktywnym wykorzystaniem, jest w tym kontekście bardziej użytecznym wskaźnikiem priorytetu niż sam wynik CVSS. SharePoint z tym wydania trafił do KEV. To jest właściwy sygnał do działania.
Co wdrożyć najpierw
Dla środowisk korporacyjnych kolejność jest wyraźna.
SharePoint Server: natychmiast, jeśli instancja jest dostępna z zewnątrz. Eksploitacja potwierdzona, brak wiedzy o skali ataków, ale brak wiedzy o skali nie oznacza braku ataków. Microsoft wydał poprawki dla SharePoint 2016, 2019 i wersji subskrypcyjnej.
Microsoft Defender: sprawdzić wersję platformy antymalware — powinna być co najmniej 4.18.26030.3011. Na większości systemów zaktualizuje się automatycznie.
Windows TCP/IP (CVE-2026-33827): priorytet dla systemów z włączonym IPv6 wystawionych na ruch zewnętrzny.
Windows Active Directory (CVE-2026-33826): środowiska korporacyjne z kontrolerami domeny wystawionymi na dostęp uwierzytelnionych użytkowników spoza zaufanej sieci.
Źródła
BleepingComputer — pełna lista podatności i szczegóły zero-dayów: https://www.bleepingcomputer.com/news/microsoft/microsoft-april-2026-patch-tuesday-fixes-167-flaws-2-zero-days/
Tenable — analiza CVE z kontekstem eksploitowalności i identyfikacją BlueHammer: https://www.tenable.com/blog/microsofts-april-2026-patch-tuesday-addresses-163-cves-cve-2026-32201
The Hacker News — szczegóły CVE-2026-32201 i katalog KEV: https://thehackernews.com/2026/04/microsoft-issues-patches-for-sharepoint.html
Computer Weekly — kontekst ryzyka dla SharePoint wystawionego na internet: https://www.computerweekly.com/news/366641679/April-Patch-Tuesday-brings-zero-days-in-Defender-SharePoint-Server
OSFlux.pl — co nowego dla użytkowników Windows 11 w tym wydaniu: https://osflux.pl/windows/patch-tuesday-kwiecien-2026-wychodzi-dzis-co-warto-wiedziec-przed-instalacja/
