Майский «Вторник Патчей» Microsoft (12 мая 2026 года) выделяется не объёмом – 120 уязвимостей в Windows и сопутствующих компонентах, – а полным отсутствием уязвимостей нулевого дня. Это первый ежемесячный выпуск без активно эксплуатируемых или публично раскрытых уязвимостей с июня 2024 года, то есть почти за два года.
Передышка относительная: 17 уязвимостей помечены критическими, и 14 из них допускают удалённое выполнение кода. Опасные исправления сосредоточены в трёх группах:
- Сетевые компоненты, доступные без аутентификации. CVE-2026-41096 в Windows DNS Client – вредоносный DNS-сервер может отправить ответ, провоцирующий повреждение памяти на клиенте. CVE-2026-41089 в Windows Netlogon – переполнение стекового буфера на контроллере домена, эксплуатируется специально сформированным сетевым запросом без участия пользователя.
- Документы и предварительный просмотр. Серия уязвимостей в Microsoft Office, Word и Excel срабатывает при открытии вредоносного файла, причём в части случаев – через панель предварительного просмотра, без явного запуска документа. Для рабочих станций с активным потоком вложений это снижает порог атаки до нуля.
- Графические подсистемы. CVE-2026-35421 в Windows GDI эксплуатируется через EMF-файл, открытый в Microsoft Paint. CVE-2026-40403 в Win32k-GRFX – переполнение кучи, способное вывести код из изолированного окружения; в сценарии Remote Desktop вредоносный сервер может запустить код на стороне подключающегося клиента.
Отдельно стоит CVE-2026-42898 в локальных версиях Microsoft Dynamics 365 (CVSS 9.9, эксплуатация без участия пользователя) и CVE-2026-40365 в SharePoint Server – обе целятся в корпоративные системы, обычно интегрированные с бизнес-данными.
Отсутствие нулевых дней не означает снижения общего уровня угрозы. Уязвимости в DNS Client, Netlogon и Office – типичные кандидаты на реверс-инжиниринг сразу после выхода патча: техники атак на эти компоненты хорошо отработаны, а окно между публикацией обновления и появлением рабочих эксплойтов исторически измеряется днями.
Что уже появилось после майского патча
За первую неделю после выхода обновлений исследователи Chaotic Eclipse опубликовали два рабочих PoC-эксплойта, расширяющих майскую картину угроз. Оба не закрыты майским «Вторником Патчей»:
- YellowKey – обход BitLocker через WinRE. Эксплойт затрагивает Windows 11 и Windows Server 2022/2025. Атакующий с физическим доступом размещает специально подготовленный NTFS-том «FsTx» на USB-носителе или EFI-разделе, инициирует загрузку в среду восстановления Windows и через зажатие клавиши **Ctrl** получает shell. Через него монтируется системный том с расшифрованным содержимым. Метод работает на конфигурациях, где BitLocker привязан только к TPM. Конфигурации с TPM+PIN или паролем загрузчика устойчивы. CVE на момент публикации не присвоен, патча нет.
- MiniPlasma – повышение привилегий до SYSTEM через cldflt.sys. Эксплойт работает на актуальных сборках Windows 11, включая Insider Preview Canary. Уязвимость в драйвере Cloud Filter (функция HsmOsBlockPlaceholderAccess) была формально закрыта в 2020 году под идентификатором CVE-2020-17103 после отчёта Google Project Zero. Chaotic Eclipse продемонстрировал, что патч оказался неполным: вызов API CfAbortHydration позволяет создать символическую ссылку на кустовой раздел реестра .DEFAULT и через него вывести произвольное приложение в контексте SYSTEM.
Эти случаи попадают в одну линию с эксплойтами BlueHammer, RedSun и UnDefend, которые в первой половине 2026 года использовались для обхода Microsoft Defender и повышения привилегий. Защитных обновлений от YellowKey и MiniPlasma на момент публикации нет; для BitLocker практической мерой остаётся переход на сценарий TPM+PIN.
Сертификаты Secure Boot: дедлайн 26 июня 2026
Срок действия исходных сертификатов Secure Boot 2011 года истекает 26 июня 2026 года – после этой даты системы без обновления потеряют возможность доверенной загрузки актуальных компонентов Windows 11. Майский и июньский циклы – последние окна для штатного применения новых сертификатов 2023 года.
В KB5089549 Microsoft добавила инфраструктуру для системных администраторов: в каталоге C:\Windows\SecureBoot\ExampleRolloutScripts появились семь PowerShell-сценариев для поэтапного обновления сертификатов через групповые политики – от диагностики (Detect-SecureBootCertUpdateStatus.ps1) до запуска оркестратора (Start-SecureBootRolloutOrchestrator.ps1) и контроля прогресса по парку устройств (Get-SecureBootRolloutStatus.ps1).
Зачем устанавливать обновления безопасности Windows
- Известные уязвимости – первая цель злоумышленников. Большинство массовых атак – вымогательское ПО, эксплуатация RDP и SMB, фишинг с офисными вложениями – работает на уязвимостях, патчи к которым уже выпущены. Свежий патч не делает систему неуязвимой, но убирает её из списка самых лёгких целей.
- Окно эксплуатации сужается. Между публикацией бюллетеня Microsoft и появлением рабочего PoC-эксплойта для критических уязвимостей часто проходит от нескольких дней до пары недель. Чем дольше система остаётся без обновления после второго вторника месяца, тем выше вероятность встретить уже готовый эксплойт.
- Стабильность, а не только защита. Накопительные обновления включают исправления функциональных ошибок – в сетевом стеке, драйверах, подсистемах печати, Hyper-V. KB5089549 для Windows 11, помимо CVE, устраняет случаи неожиданного запроса ключа восстановления BitLocker после установки предыдущих обновлений и добавляет инфраструктуру развёртывания сертификатов Secure Boot.
- Требования аудита и страхования. Для организаций отсутствие свежих патчей – повод для замечаний при проверках, проблем с киберстрахованием и повышенной ответственности при инцидентах. Базовые политики ИБ требуют установки критических обновлений в течение фиксированного срока после выхода.
- Сертификаты Secure Boot. Последение выпуски доставляют сертификаты 2023 года, без которых после 26 июня 2026 года доверенная загрузка обновлённых компонентов невозможна. Это отдельная причина не пропускать текущие циклы обновлений.
Официальные ISO-образы Windows 11 (май 2026)
Если вы хотите выполнить чистую установку Windows 11 или запустить обновление системы «на месте», вы можете скачать ISO-образы на официальном сайте Microsoft. Однако, потом потребуется установка последних накопительных обновлений. Чтобы установить ОС с последними обновлениями безопасности, для загрузки стали доступны оригинальные ISO-образы (Microsoft MSDN) Windows 11 за май 2026 года. Вы можете скачать их на нашем сайте по ссылкам в таблице ниже:
Обновления безопасности Windows (май 2026)
| ОС Windows | Сборка | Версия | Канал | Обновление | ISO-образы | Доступно |
|---|---|---|---|---|---|---|
| Windows 11 | 28000.2113 | 26H1 | Stable | KB5089548 | ISO (Microsoft) | 2026-05-12 |
| Windows 11 | 26200.8457 | 25H2 | Stable | KB5089549 | ISO (Microsoft) | 2026-05-12 |
| Windows 11 | 26100.8457 | 24H2 | Stable | KB5089549 | ISO (Microsoft) | 2026-05-12 |
| Windows 11 | 22631.7079 | 23H2 | Stable | KB5087420 | ISO (UUP)* | 2026-05-12 |
| Windows 10 | 19045.7291 | 22H2 | Stable | KB5087544 | ISO (UUP)* | 2026-05-12 |
Для оптимизации скорости загрузки ISO-образы доступны в виде торрент-файлов, которые можно скачивать с помощью программы qBittorrent или Transmission.
Для Windows 11 также доступны гибридные ISO-образы для обхода ограничений с поддержкой обновления поверх и сохранением данных. Если ваше устройство несовместимо с последней версии Windows, воспользуйтесь нашей инструкцией Как обновиться до Windows 11, версия 25H2 на неподдерживаемом компьютере.
Используя загруженный ISO-образ, создайте загрузочный USB-накопитель. Это можно сделать с помощью специальных программ, таких как Rufus или Ventoy.
Кроме этого, вы можете скачать официальные ISO-образы Windows Server 2025 и Windows Server 2022 за май 2026 года.