Microsoft выпустила крупный апрельский Patch Tuesday: 165 обновлений, два zero-day и усиление Kerberos RC4

Прослушать статью

Почти все крупные продуктовые семейства требуют немедленной установки обновлений — от Windows и Office до Microsoft Edge, SQL Server и даже Microsoft Developer Tools.

Администраторам Windows в этом месяце будет чем заняться: это самый крупный цикл Patch Tuesday, который автор помнит. В апрельском выпуске — 165 обновлений и примерно 340 уникальных CVE от Microsoft, включая два zero-day, один из которых уже активно эксплуатируется в реальной среде.

Команда Readiness рекомендует режимы «Patch Now» почти для всех ключевых продуктовых семейств в этом месяце: Windows, Office (с zero-day), Microsoft Edge (Chromium), SQL Server и Microsoft Developer Tools (.NET). В апреле также начинается этап 2 ужесточения Kerberos RC4 от Microsoft, а полный enforcement намечен на июль. Тем для разбора много, поэтому команда Readiness подготовила инфографику с картой рисков внедрения для каждой платформы.

(Дополнительную информацию о недавних выпусках Patch Tuesday можно найти здесь.)

Известные проблемы

Microsoft сообщает об одной проблеме в Windows 11 25H2. Она затрагивает узкую группу корпоративных развертываний, но важна для всех, кого касается.

KB5083769 — запрос на восстановление BitLocker при первой перезагрузке (Windows 11 25H2/24H2). Устройства с BitLocker на диске ОС и с групповой политикой «Configure TPM platform validation profile for native UEFI firmware configurations», где в profile validation указан PCR7, могут запросить ключ восстановления BitLocker при первой перезагрузке после установки этого обновления. Рекомендация: удалить конфигурацию групповой политики PCR7 и выполнить gpupdate /force до установки.

Исправленные проблемы

Апрельский KB5083769 закрывает четыре проблемы: три улучшения качества жизни и один многоцикловый сбой сброса:

KB5083769 — Reset this PC (Windows 11 25H2/24H2). Исправляет дефект, из-за которого сброс устройства ломался на некоторых сочетаниях оборудования и конфигурации, а вместе с ним и последний путь аварийного восстановления.
KB5083769 — развертывание сертификата Secure Boot. Продолжающееся обновление Secure Boot CA refresh получает два улучшения: приложение Windows Security теперь показывает статус обновления сертификата напрямую (Settings → Privacy & Security → Windows Security), а quality update расширяет данные о целевых устройствах для поэтапного развертывания.
KB5083769 — SMB compression over QUIC. Запросы SMB compression over QUIC теперь завершаются стабильнее; обновление устраняет прежние тайм-ауты.
KB5083769 — антифишинг Remote Desktop. При открытии файла .RDP теперь появляется диалог подтверждения со всеми запрошенными параметрами подключения, и каждый из них по умолчанию отключен. Пользователь должен явно разрешить общий доступ к локальным ресурсам до начала подключения; одноразовое предупреждение безопасности появляется при первом открытии файла .RDP после установки обновления.

Крупные изменения и смягчения рисков

Microsoft не выпускала крупных пересмотров для Windows или Office. Но Azure и Chromium/Edge получили несколько обновлений с прошлого месяца:

Microsoft документировала четыре критические CVE в Azure; действий от пользователей не требуется.
Microsoft заново опубликовала 141 исправление Chrome/V8/WebGL/WebML/WebRTC из еженедельного upstream-цикла; Edge получает их через собственный канал автообновления.

Таким образом, Microsoft опубликовала 145 CVE, затронувших Edge, за последние 30 дней. Это примерно по пять зарегистрированных уязвимостей безопасности в рабочий день. Помните старые добрые времена, когда у IE было по 10 критических уязвимостей в памяти каждый месяц?

Жизненный цикл Windows и изменения в enforcement

Выражение «April is the cruelest month» здесь вполне уместно: у Microsoft в этом месяце три довольно жестких изменения:

Доверие к cross-signed kernel driver — режим оценки начинается в апреле. Microsoft отказывается от доверия к устаревшим kernel driver, подписанным через deprecated cross-signed root program; на Windows 11 24H2/25H2/26H1 и Server 2025 это пока только аудит.
Усиление Kerberos RC4, этап 2 — апрель. После этапа 1 в ноябре 2025 года контроллеры домена по умолчанию начинают выдавать зашифрованные билеты AES-SHA1 для учетных записей без явно заданного типа шифрования Kerberos (CVE-2026-20833). Фаза enforcement начнется в июле.
Windows Deployment Services hands-free deployment — отключено по умолчанию с апреля. Жесткое усиление для CVE-2026-0386 (Unattend.xml через unauthenticated RPC) отключает hands-free WDS deployment по умолчанию, начиная с апрельского обновления. Администраторы могут обойти это, но Microsoft не рекомендует так делать.

Kerberos и KDC

Kerberos Key Distribution Center (kdcsvc.dll) и клиентская библиотека (kerb3961.dll) в этом месяце помечены как High Risk. Рекомендации Microsoft относятся к средам, где используется keytab-based authentication с RC4 encryption — устаревшей конфигурацией, распространенной в смешанных Windows и не-Windows service environments. Клиентское обновление затрагивает только Windows 10 1607, а серверные изменения применяются ко всем редакциям от Windows Server 2022 до 2025.

После установки обновления на контроллерах домена откройте Event Viewer и проверьте журналы System и Security на события с ID 201–209.
Сохраняйте полные сведения о любых новых событиях в этом диапазоне: текст, время и затронутую учетную запись или службу.
Особое внимание уделяйте долгоживущим службам, проходящим аутентификацию через RC4 keytab, поскольку именно они с наибольшей вероятностью проявят сбои после обновления.

Remote Desktop client

Microsoft также помечает Remote Desktop ActiveX control (mstscax.dll) как High Risk. Обновление влияет на перенаправление буфера обмена, перенаправление принтеров и стабильность повторного подключения сессий на всех поддерживаемых версиях Windows. Отдельное обновление для mstsc.exe затрагивает поведение SmartScreen при обработке файлов .RDP, RemoteApp и Hyper-V Enhanced Session mode.

Подключитесь к удаленному устройству через mstsc.exe и проверьте, что сессия устанавливается и остается стабильной.
Копируйте и вставляйте данные между локальной и удаленной сессией — как текст, так и файлы — и убедитесь в корректной передаче в обоих направлениях.
Перенаправьте локальный принтер в удаленную сессию, распечатайте тестовую страницу и убедитесь, что задание завершается.
Отключитесь, подключитесь снова и проверьте, что перенаправление буфера обмена и принтера сохраняется после переподключения.
Ожидайте, что ресурсы RemoteApp запускаются нормально, а Hyper-V Enhanced Session mode подключается без ошибок.

Secure Boot и BitLocker (продолжение)

Тестирование Secure Boot и BitLocker теперь расширяется до семи сценариев, включая новый тест на сохранение Windows Hello PIN. Эти проверки подтверждают состояние Secure Boot, шифрование BitLocker и key rolling, связанные с продолжающейся смягчающей мерой для CVE-2023-24932. Выполняйте их только на выделенных тестовых устройствах с заранее сохраненными ключами восстановления.

Включите BitLocker на диске ОС, убедитесь, что TPM protectors присутствуют с помощью manage-bde -protectors -get c:, затем отключите BitLocker и проверьте, что диск полностью расшифрован.
Включите BitLocker на диске данных, проверьте protectors, затем отключите и убедитесь, что расшифровка завершилась.
При включенном Secure Boot включите BitLocker, вызовите экран восстановления через reagentc /boottore и убедитесь, что ключ восстановления разблокирует диск.
При отключенном Secure Boot включите BitLocker, принудительно вызовите recovery через изменения test signing в BCD, разблокируйте диск ключом восстановления, приостановите BitLocker и убедитесь, что обычная загрузка возобновляется.
При включенных обоих механизмах примените обновление ключей Secure Boot (CVE-2023-24932) и проверьте, что система загружается без запуска восстановления.
Проверьте гибернацию при включенных Secure Boot и BitLocker и убедитесь, что возобновление проходит без запросов на восстановление.
На устройстве с мартовской сборкой 2026 года включите Windows Hello PIN и BitLocker, установите апрельское обновление и убедитесь, что PIN по-прежнему работает.

Сеть

В апреле Microsoft дважды патчит драйвер Ancillary Function Driver for WinSock (afd.sys) — один раз в связке с TDX transport driver, один раз отдельно, — делая его самым часто патчимым сетевым компонентом месяца. Отдельный патч для HTTP.sys затрагивает HTTP/3 в Windows 11 23H2 и 22H2.

Просматривайте сайты, скачивайте и загружайте файлы, включая крупные, и тестируйте VPN и Remote Desktop-соединения через IPv4 и IPv6.
Проверьте, что Teams, Outlook и другие приложения для обмена сообщениями входят в учетную запись, отправляют сообщения и переподключаются после сетевых сбоев.
Тестируйте изолированные и процессы с низкими привилегиями — Edge, Store apps и Electron apps, — чтобы убедиться, что их сетевые запросы выполняются.
Создайте длительную сетевую нагрузку и убедитесь, что нет BSOD, новых ошибок в Event Viewer и падения пропускной способности.

VPN и IPsec

Апрель патчит два VPN-компонента: драйвер Windows Filtering Platform (wfplwfs.sys) и службу IKE Extensions (ikeext.dll). Обновление WFP нацелено на стабильность UWP VPN plug-in, восстановление после сна/пробуждения и Always On VPN. Обновление IKE затрагивает IKEv2-туннели, IPsec security associations и Connection Security Rules.

Подключайте и отключайте UWP VPN plug-in client многократно (10+ циклов) и убедитесь, что клиент остается рабочим, а система — стабильной.
Оставляйте VPN подключенным на 30+ минут в активной работе; проверьте, что он переживает смену сети (Wi‑Fi на Ethernet) и циклы сна/пробуждения.
Если используется Always On VPN, убедитесь, что он подключается при входе в систему и переподключается после потери сети.
Создавайте IKEv2 VPN-соединения и проверяйте, что туннель стабилен, а внутренние ресурсы доступны.
Проверьте, что Connection Security Rules корректно договариваются об IPsec и что защищенный трафик остается защищенным.

Аутентификация и безопасность

Патчи для kernel driver SSPI (ksecdd.sys, ksecpkg.sys) охватывают NTLM, Kerberos, CredSSP и TLS/SSL. Стек Windows Hello for Business также получает обновления для Enhanced Sign-in Security.

Проверьте end-to-end потоки входа и доступа к ресурсам для приложений, использующих NTLM, Kerberos, CredSSP или TLS/SSL-аутентификацию.
Тестируйте и успешные, и неуспешные сценарии: корректные и некорректные учетные данные, разрешенные и запрещенные учетные записи, просроченные сертификаты.
Проверьте аутентификацию Windows Hello for Business с Enhanced Sign-in Security в циклах входа, блокировки, разблокировки и перезагрузки.

Графика, оболочка и рабочий стол

Апрельские обновления затрагивают Direct3D, Desktop Window Manager и графическое ядро (win32kbase.sys, win32kfull.sys). Windows Shell (shell32.dll) получает патч, влияющий на сохранение Mark-of-the-Web для загруженных ярлыков, а COM Automation (oleaut32.dll) — обновление.

Запускайте стресс-тесты с постоянной активностью UI: быстрое открытие и закрытие окон, snap layouts, переключение виртуальных рабочих столов и подключение/отключение нескольких мониторов.
Тестируйте workloads с аппаратным ускорением GPU — воспроизведение видео, 3D-приложения, аппаратное ускорение браузера — и проверяйте наличие артефактов или мерцания.
Скачайте файл ярлыка .lnk из интернета и убедитесь, что при открытии система показывает предупреждение SmartScreen — это подтверждает, что Mark-of-the-Web сохранен.
Запускайте сценарии COM Automation — VBA, PowerShell и Office automation — и убедитесь, что они выполняются корректно.

Hyper-V и виртуализация

Апрель патчит оба уровня вычислений Hyper-V (computecore.dll, vmcompute.dll, vmwp.exe), а также двоичный файл гипервизора (hvax64.exe) для Windows 11 25H2 и 24H2.

Запускайте, сохраняйте, возобновляйте и останавливайте VM через Hyper-V Manager или PowerShell, повторяя цикл несколько раз.
Экспортируйте VM, импортируйте ее обратно и убедитесь, что импортированная VM загружается и работает нормально.
Запустите Windows Sandbox и убедитесь, что он стартует без ошибок.

Windows Installer, Cloud Sync и MDM

Апрельские обновления для Windows Installer (msi.dll), фильтра Cloud Files (cldflt.sys) и уровня управления MDM затрагивают сценарии установки, cloud sync и управления устройствами.

Устанавливайте, удаляйте и восстанавливайте MSI-пакеты, чтобы проверить корректную работу Windows Installer.
Несколько раз подключайте и отключайте поставщика cloud sync, например OneDrive, и проверяйте, что синхронизация работает после перезапусков.
Зарегистрируйте устройство в Intune или вашей MDM-системе, проверьте статус соответствия и запустите синхронизацию политик.

Common Log File System и хранилище

Драйвер Common Log File System (clfs.sys) — объект мартовского крупного изменения в hardening — получает последующий патч. Storage Spaces (spaceport.sys) и драйверы файловой системы для изоляции приложений (bfs.sys, wcifs.sys) также обновляются в этом цикле.

Запустите циклы установки и отката Windows Update, затем несколько раз перезагрузите машину по питанию, чтобы убедиться, что система каждый раз загружается нормально.
Устанавливайте и удаляйте набор типовых приложений в несколько циклов и проверяйте, что каждый цикл завершается без ошибок.
Сделайте резервную копию обычным способом, восстановите данные и проверьте целостность.
Если используется Storage Spaces, создайте пул с зеркальными и thin virtual disks, запишите данные и проверьте корректное удаление.

Office и SharePoint

Апрельские обновления Office нацелены на MSI-редакции: Excel 2016 (KB5002860), PowerPoint 2016 (KB5002808), общие библиотеки Office 2016 (KB5002859), а также SharePoint Server 2016, 2019 и Subscription editions. Они не устанавливаются в Click-to-Run-развертывания вроде Microsoft 365 Apps.

Открывайте и редактируйте сложные книги Excel с формулами, макросами и внешними источниками данных; сохраняйте и открывайте снова, чтобы проверить целостность.
Создавайте и редактируйте презентации PowerPoint со встроенными медиа и переходами.
Во всех обновленных серверных редакциях проверяйте работу библиотек документов SharePoint, соавторства и workflow execution.
Убедитесь, что надстройки Office и line-of-business-приложения, интегрированные с Office, продолжают работать корректно.

Два компонента High Risk в апреле должны быть в начале очереди на тестирование. Изменения Kerberos могут нарушить работу долгоживущих служб, использующих RC4 keytab; отслеживайте event IDs 201–209 и держите план отката под рукой. Обновление Remote Desktop client требует тщательной проверки буфера обмена, перенаправления принтеров и повторного подключения сессий, особенно в средах, зависящих от RDP. Проверка Secure Boot и BitLocker остается обязательной, пока продолжается key rolling для CVE-2023-24932. Пять патчей для Projected File System усиливают важность тестирования cloud sync в этом цикле. Двойные обновления afd.sys и патчи VPN/IPsec требуют регрессионного тестирования всей инфраструктуры удаленного доступа. Обновления Office ограничены MSI-редакциями.

Каждый месяц мы разбиваем цикл обновлений на продуктовые семейства, как их определяет Microsoft, по следующим базовым группам:

Браузеры (Microsoft IE и Edge)
Microsoft Windows (настольная и серверная)
Microsoft Office
Microsoft Exchange и SQL Server
Microsoft Developer Tools (Visual Studio и .NET)
Adobe (если дойдете так далеко)

Браузеры

Браузеры Microsoft в этом месяце выглядят спокойно. Два исправления spoofing в Edge, созданные Microsoft, тоже идут через стандартный канал обновления Edge: CVE-2026-33119 (Edge for Android, CVSS 5.4, moderate) и CVE-2026-33118 (CVSS 4.3, low).

Настоящая история — upstream: за прошлый месяц вышло 140+ исправлений Chromium, включая CVE-2026-5281 — use-after-free в Dawn, который Google подтвердил как активно эксплуатируемый в реальной среде. Мы рекомендуем patch now для всех Chromium endpoints (включая Edge).

Microsoft Windows

Microsoft выпускает 134 Windows CVE для desktop и server — четыре critical, остальные important или moderate, без zero-day и без публично раскрытых дефектов в этом цикле. Самая заметная по CVSS — это RCE в IKE/IPsec с оценкой 9.8; по приоритету эксплуатации — RCE в Active Directory, единственный Windows critical, которому Microsoft присвоила статус «Exploitation More Likely». Четыре критические проблемы сосредоточены в трех областях Windows: Active Directory, networking (две проблемы) и Remote Desktop Client.

Active Directory / Identity — CVE-2026-33826, RCE в Active Directory из-за неправильной проверки входных данных (CVSS 8.0, critical; Exploitation More Likely). Аутентифицированный атакующий с низкими привилегиями в смежной сети может выполнить код на контроллере домена — поверхность атаки здесь равна всей directory service. Это приоритет для всех, кто использует AD on-prem.
Networking (IKE/IPsec) — CVE-2026-33824, RCE в IKE Service Extensions из-за double-free (CVSS 9.8, critical; Less Likely). Самый высокий CVSS в цикле: без аутентификации, доступно по сети, без UI. Сначала патчите VPN concentrators и IPsec gateways.
Networking (TCP/IP) — CVE-2026-33827, RCE через race condition в стеке TCP/IP (CVSS 8.1, critical; Less Likely). Доступно по сети, но race повышает сложность атаки (AC:H).
Remote Desktop Client — CVE-2026-32157, RCE через use-after-free (CVSS 8.8, critical; Less Likely). Срабатывает, когда пользователь подключается к вредоносному RDP-серверу (UI:R) — модель угроз здесь reverse RDP, а не входящие подключения. Отметьте для операторов jump-host.

Помимо критических, наиболее заметный дефект Windows — CVE-2026-27912 — повышение привилегий Kerberos из-за неправильной авторизации (CVSS 8.0, important). Авторизованные атакующие в смежной сети могут повысить привилегии через обработчик Kerberos. Согласуйте развертывание на контроллерах домена с описанным в разделе жизненного цикла усилением Kerberos RC4, потому что оба изменения затрагивают контроллеры домена. Уязвимость Kerberos (CVE-2026-27912) переводит апрельские обновления Windows в режим Patch Now.

Microsoft Office

Office получает 14 исправлений безопасности, три из них rated critical, и одно активно эксплуатируется в реальной среде. Активная эксплуатация в SharePoint заставляет Office перейти в режим Patch Now, при этом приоритетом остаются серверы SharePoint, а не клиентское обновление.

CVE-2026-32201 — Microsoft SharePoint Server — spoofing, активно эксплуатируется в реальной среде (CVSS 6.5, important). Оценка занижает срочность: эксплуатация подтверждена, а spoofing-уязвимость внутри SharePoint — это платформа для кражи учетных данных и lateral movement независимо от того, ограничена ли система внутренним контуром. Патчить немедленно, прежде чем обновлять клиентский Office.
CVE-2026-32190 — Microsoft Office — remote code execution (CVSS 8.4, critical). Вектор атаки по-прежнему Preview Pane; предварительного просмотра специально подготовленного файла в Outlook или File Explorer достаточно, чтобы запустить код без дополнительных действий пользователя. Как мы уже отмечали ранее, это повторяется снова и снова.
CVE-2026-33114, CVE-2026-33115 — Microsoft Word — remote code execution (оба CVSS 8.4, critical). Парные RCE в Word в одном и том же release channel; затронутая поверхность совпадает с CVE-2026-32190.

У Excel самый тяжелый кластер — еще четыре RCE: CVE-2026-32189, CVE-2026-32197, CVE-2026-32198 и CVE-2026-32199, а также дефект утечки информации в CVE-2026-32188. Microsoft Word получает еще два исправления вне критической пары: RCE CVE-2026-33095 и CVE-2026-23657, а также утечку информации CVE-2026-33822. Для Office это выпуск уровня Patch Now, и его определяет SharePoint zero-day. Организациям, которые не могут быстро развернуть клиентский Office, стоит временно отключить Preview Pane в Outlook и File Explorer как смягчающую меру против трио критических RCE.

Microsoft Exchange и SQL Server

Exchange Server в этом месяце не получает ни одной CVE — редкий спокойный цикл и хороший момент, чтобы закрыть накопившиеся CU. SQL Server получает три, включая сетевой RCE, который при успехе дает SQL sysadmin:

CVE-2026-33120 — Microsoft SQL Server — remote code execution через untrusted pointer dereference (CVSS 8.8, important; Exploitation Less Likely). При успехе аутентифицированный атакующий получает полный SQL sysadmin. Область действия необычно узкая: только SQL Server 2022 для x64-based Systems на ветке обслуживания GDR — CU 24 и все остальные поддерживаемые версии (от 2016 SP3 до 2025) не указаны как затронутые.
CVE-2026-32167, CVE-2026-32176 — Microsoft SQL Server — повышение привилегий через SQL injection (оба CVSS 6.7, important). Парные уязвимости затрагивают SQL Server 2016 SP3–2025 как на ветках GDR, так и CU. Это локальное повышение привилегий, а не удаленное; важна широта охвата, а не радиус поражения.

Команда Readiness рекомендует Patch Now для любых операций с SQL Server 2022 GDR. Более широкий контур SQL планируйте в обычное окно обслуживания базы данных.

Инструменты разработчика

В Developer Tools в этом месяце 10 CVE, а главными являются критическая .NET Framework DoS и две уязвимости, связанные с GitHub, которые прямо повлияют на рабочие процессы разработчиков.

CVE-2026-23666 — .NET Framework — отказ в обслуживании из-за неправильной проверки входных данных (CVSS 7.5, critical; Exploitation Less Likely). Статус critical при эффекте DoS отражает зрелость эксплойт-кода; в CVSS-векторе есть E:P (proof-of-concept).
CVE-2026-32631 — Visual Studio — утечка NTLM hash при git clone из подмененных репозиториев (CVSS 7.4, important). Уязвимость связана с GitHub: клонирование вредоносного репозитория или checkout ветки, которая разрешается в UNC path под контролем атакующего, раскрывает NTLM hash пользователя. Затрагивает Visual Studio 2017, 2019 и 2022 (17.12 и 17.14).
CVE-2026-26143 — PowerShell — обход security feature bypass (CVSS 7.8, important). Самый высокий CVSS в наборе, а SFB для PowerShell всегда заслуживают внимания.

Еще пять обновлений для разработчиков завершают цикл: четыре исправления DoS или spoofing в .NET / Visual Studio (CVE-2026-26171, CVE-2026-32178, CVE-2026-32203, CVE-2026-32226) и умеренный bypass для TLS PSK/ALPN (CVE-2026-21637). Ни одна из них не была раскрыта публично и не эксплуатировалась. Команда Readiness рекомендует Patch Now для .NET Framework и PowerShell.

Adobe (и обновления сторонних поставщиков)

Microsoft больше не поставляет обновления Adobe в составе своего бюллетеня. Adobe выпускает APSB26-44 отдельно для Acrobat и Reader — два из них отмечены как critical. Им стоит уделить внимание, учитывая распространенность Reader на корпоративных рабочих станциях. Всем, кто упаковывает, тестирует и разворачивает эти быстрые и недавние обновления Adobe: мы вас слышим. Пакеты большие, а объем администрирования продолжает расти.

Материал — перевод статьи с английского.

Оригинал: Microsoft’s Patch Tuesday release for April is a whopper

Подписаться на новости в Telegram