🪟 Windows: Апрельский Patch Tuesday сломал DC — и Microsoft уже выпустила OOB-фикс
Коллеги, если вы ещё не слышали — апрельское обновление KB5082063 наломало дров. Контроллеры домена в средах с Privileged Access Management (PAM) уходили в бесконечный цикл перезагрузок из-за краша LSASS. Затронуты все версии Windows Server от 2016 до 2025.
Хорошая новость: 19 апреля Microsoft выпустила внеплановые OOB-обновления. Для Windows Server 2025 — KB5091157 (стандартный) или KB5091470 (для hotpatch-сред, без перезагрузки).
Зачем это нужно:
Апрельские апдейты ломали контроллеры домена уже три года подряд. Вывод простой: DC обновляем последними, держим снапшот перед каждым Patch Tuesday и знаем наизусть путь в DSRM.
Итог: KB5091157 ставим немедленно. Без него KB5082063 на DC — это потенциальная недоступность домена.
#windows #activedirectory #patchtuesday #sysadmin #admin_future
Коллеги, если вы ещё не слышали — апрельское обновление KB5082063 наломало дров. Контроллеры домена в средах с Privileged Access Management (PAM) уходили в бесконечный цикл перезагрузок из-за краша LSASS. Затронуты все версии Windows Server от 2016 до 2025.
Хорошая новость: 19 апреля Microsoft выпустила внеплановые OOB-обновления. Для Windows Server 2025 — KB5091157 (стандартный) или KB5091470 (для hotpatch-сред, без перезагрузки).
# Проверяем установлен ли проблемный патч
Get-HotFix | Where-Object {$_.HotFixID -eq "KB5082063"}
# Проверяем статус LSASS и не крутится ли DC в петле
Get-Service lsass | Select-Object Status
Get-EventLog -LogName System -Newest 20 |
Where-Object {$_.Source -like "*LSASS*" -or $_.Source -like "*SAM*"}
# Устанавливаем OOB-фикс вручную (скачать с Microsoft Update Catalog)
# Для WS2025: KB5091157
# Для WS2022: KB5091575
# Для WS2019: KB5091574
# Если DC уже в петле — загружаемся в DSRM и откатываем:
# В меню Advanced Boot Options -> Directory Services Restore Mode
# Затем из cmd:
dism /image:C:\ /get-packages | findstr /i "KB5082063"
# dism /image:C:\ /remove-package /packagename:[имя_пакета]
Зачем это нужно:
Апрельские апдейты ломали контроллеры домена уже три года подряд. Вывод простой: DC обновляем последними, держим снапшот перед каждым Patch Tuesday и знаем наизусть путь в DSRM.
Итог: KB5091157 ставим немедленно. Без него KB5082063 на DC — это потенциальная недоступность домена.
#windows #activedirectory #patchtuesday #sysadmin #admin_future
🔥1😁1
🪟 Windows: Майский Patch Tuesday — hotpatch возобновляется, но есть нюанс
Коллеги, 11 мая — первый hotpatch-вторник после апрельского OOB-фикса, который прервал цикл. Разбираем коротко что происходит и чего ждать.
Напомню схему: январь, апрель, июль, октябрь — полный baseline с перезагрузкой. Февраль, март, май, июнь и т.д. — hotpatch без рестарта. Май по плану должен быть hotpatch-месяцем.
Но апрель внёс коррективу: OOB-фикс KB5091157 для апрельского DC reboot-loop потребовал перезагрузки и приостановил hotpatching. Для тех кто его установил — hotpatch возобновится только с майского обновления.
Ещё важный момент о стоимости: hotpatch для Windows Server 2025 вне Azure требует Azure Arc и платной подписки через Azure Arc — это не бесплатная функция для on-premises серверов.
Зачем это нужно:
Hotpatch не охватывает все обновления — .NET-патчи, несекьюрити-обновления и патчи сторонних компонентов по-прежнему требуют перезагрузки. Нельзя считать, что сервер с hotpatch больше никогда не перезагружается.
Итог: четыре перезагрузки в год вместо двенадцати — реальное улучшение для uptime. Но hotpatch не бесплатен на on-prem и не заменяет полный patch management. Знай что у тебя включено и почему.
#windows #hotpatch #patchtuesday #windowsserver2025 #sysadmin #admin_future
Коллеги, 11 мая — первый hotpatch-вторник после апрельского OOB-фикса, который прервал цикл. Разбираем коротко что происходит и чего ждать.
Напомню схему: январь, апрель, июль, октябрь — полный baseline с перезагрузкой. Февраль, март, май, июнь и т.д. — hotpatch без рестарта. Май по плану должен быть hotpatch-месяцем.
Но апрель внёс коррективу: OOB-фикс KB5091157 для апрельского DC reboot-loop потребовал перезагрузки и приостановил hotpatching. Для тех кто его установил — hotpatch возобновится только с майского обновления.
Ещё важный момент о стоимости: hotpatch для Windows Server 2025 вне Azure требует Azure Arc и платной подписки через Azure Arc — это не бесплатная функция для on-premises серверов.
# Проверяем текущий статус hotpatch на сервере
# Смотрим что установлено последним
Get-HotFix | Sort-Object InstalledOn -Descending |
Select-Object HotFixID, InstalledOn -First 3
# Проверяем включён ли VBS (обязательное требование):
Get-CimInstance -ClassName Win32_DeviceGuard `
-Namespace root\Microsoft\Windows\DeviceGuard |
Select-Object VirtualizationBasedSecurityStatus
# 2 = Running = hotpatch возможен
# Проверяем подключение к Azure Arc (нужно для on-prem hotpatch):
azcmagent show 2>$null | Select-String "Status"
# Connected = готов к hotpatch
# Смотрим историю hotpatch vs обычных обновлений:
Get-WinEvent -LogName "Microsoft-Windows-WindowsUpdateClient/Operational" |
Where-Object {$_.Id -eq 19} | # ID 19 = успешная установка
Select-Object TimeCreated, Message |
Format-List |
Select-Object -First 5
# Если нужно временно отключить hotpatch (например для тестов):
Set-ItemProperty `
-Path "HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" `
-Name "HotPatchRestrictions" -Value 1 -Type DWORD
# Вернуть: Value 0
Зачем это нужно:
Hotpatch не охватывает все обновления — .NET-патчи, несекьюрити-обновления и патчи сторонних компонентов по-прежнему требуют перезагрузки. Нельзя считать, что сервер с hotpatch больше никогда не перезагружается.
Итог: четыре перезагрузки в год вместо двенадцати — реальное улучшение для uptime. Но hotpatch не бесплатен на on-prem и не заменяет полный patch management. Знай что у тебя включено и почему.
#windows #hotpatch #patchtuesday #windowsserver2025 #sysadmin #admin_future
🪟 Windows: Май 2026 Patch Tuesday — 120 CVE, ноль zero-days, два приоритета
Коллеги, вчера вышел майский Patch Tuesday. Хорошая новость: впервые с июня 2024 года — ни одного активно эксплуатируемого или публично раскрытого zero-day. Плохая: несмотря на это, три компонента требуют срочного внимания.
CVE-2026-41096 — Windows DNS Client RCE, Critical.
Злоумышленник-контролируемый DNS-сервер может отправить специально сформированный DNS-ответ на уязвимую Windows-систему, что вызовет некорректную обработку памяти клиентом DNS и позволит выполнить код удалённо. DNS-клиент есть на каждой Windows-машине. Вектор — любой ответ от вредоносного DNS-сервера.
CVE-2026-41089 — Windows Netlogon RCE, Critical.
Stack-based buffer overflow в Netlogon. Контроллеры домена — это не обычные серверы, это структура авторизации всего Windows enterprise. Ошибка которая может быть применена против DC, даже при ограниченных условиях, должна быть в топе любого совещания по приоритизации патчей.
CVE-2026-41103 — Microsoft SSO Plugin для Jira/Confluence, CVSS 9.1, Critical.
Сетевая эксплуатация, не требует привилегий, не требует взаимодействия пользователя. Microsoft пометил как «Exploitation More Likely». Успешный эксплойт даёт неаутентифицированному атакующему доступ к Jira/Confluence с повышенными привилегиями.
Зачем это важно: фраза «не эксплуатируется в дикой природе» описывает знания Microsoft на момент релиза, а не гарантию завтрашнего поведения атакующих.
Итог: отсутствие zero-day не означает «можно подождать». DNS Client + Netlogon — это патчить в первую очередь на DC и серверах. Плюс майский патч закрывает апрельскую BitLocker-проблему — два повода для обновления.
#windows #patchtuesday #security #dns #netlogon #sysadmin #admin_future
Коллеги, вчера вышел майский Patch Tuesday. Хорошая новость: впервые с июня 2024 года — ни одного активно эксплуатируемого или публично раскрытого zero-day. Плохая: несмотря на это, три компонента требуют срочного внимания.
CVE-2026-41096 — Windows DNS Client RCE, Critical.
Злоумышленник-контролируемый DNS-сервер может отправить специально сформированный DNS-ответ на уязвимую Windows-систему, что вызовет некорректную обработку памяти клиентом DNS и позволит выполнить код удалённо. DNS-клиент есть на каждой Windows-машине. Вектор — любой ответ от вредоносного DNS-сервера.
CVE-2026-41089 — Windows Netlogon RCE, Critical.
Stack-based buffer overflow в Netlogon. Контроллеры домена — это не обычные серверы, это структура авторизации всего Windows enterprise. Ошибка которая может быть применена против DC, даже при ограниченных условиях, должна быть в топе любого совещания по приоритизации патчей.
CVE-2026-41103 — Microsoft SSO Plugin для Jira/Confluence, CVSS 9.1, Critical.
Сетевая эксплуатация, не требует привилегий, не требует взаимодействия пользователя. Microsoft пометил как «Exploitation More Likely». Успешный эксплойт даёт неаутентифицированному атакующему доступ к Jira/Confluence с повышенными привилегиями.
# Проверяем установлены ли майские обновления:
Get-HotFix | Where-Object {$_.InstalledOn -ge "2026-05-12"} |
Select-Object HotFixID, InstalledOn |
Sort-Object InstalledOn -Descending
# Для Windows 11 — KB5089549:
# Для Windows 10 — KB5087544:
Get-HotFix | Where-Object {$_.HotFixID -in @("KB5089549","KB5087544")}
# Prioritization список:
# 1. DC: KB c Netlogon fix (CVE-2026-41089) — ставим первыми
# 2. Все хосты: DNS Client (CVE-2026-41096) — широкая поверхность
# 3. Atlassian-интеграции: SSO Plugin (CVE-2026-41103) — проверить версию
# Для Hyper-V хостов: CVE-2026-40402 (guest-to-host escape) — Critical
Get-VM | Select-Object Name, State, Version # смотрим что запущено
# Хорошая новость этого Patch Tuesday:
# KB5089549 (Windows 11) закрывает проблему с неожиданными
# запросами BitLocker recovery key, которая была с апреля:
Get-HotFix "KB5089549"
Зачем это важно: фраза «не эксплуатируется в дикой природе» описывает знания Microsoft на момент релиза, а не гарантию завтрашнего поведения атакующих.
Итог: отсутствие zero-day не означает «можно подождать». DNS Client + Netlogon — это патчить в первую очередь на DC и серверах. Плюс майский патч закрывает апрельскую BitLocker-проблему — два повода для обновления.
#windows #patchtuesday #security #dns #netlogon #sysadmin #admin_future
🪟 Windows: Июньский Patch Tuesday — рекорд за всю историю программы и три важных приоритета
Коллеги, вчера 10 июня вышел самый большой Patch Tuesday в истории. Разбираем что важно из 200 CVE.
Июньский релиз — крупнейший за всё время существования программы, включает 3 публично раскрытых zero-day, 33 критических уязвимости (28 из которых RCE) и ещё 55 RCE уязвимостей требующих немедленного внимания. Релиз вышел при 17 оставшихся днях до абсолютного дедлайна Secure Boot сертификатов 26 июня.
Три приоритета для сисадмина:
Приоритет 1 — Hyper-V guest escape (Critical): CVE-2026-47652, CVE-2026-45641 и CVE-2026-45607 — критические RCE уязвимости в Hyper-V способные позволить побег из виртуальной машины и выполнение кода. Если у вас Hyper-V — это патчить первым.
Приоритет 2 — HTTP/2 Bomb (CVE-2026-49160): атака злоупотребляет сжатием заголовков и управлением потоком HTTP/2 так что маленькие запросы вынуждают сервер аллоцировать непропорционально большие объёмы памяти и удерживать их. Для интернет-facing серверов с IIS — срочно.
Приоритет 3 — Nightmare Eclipse zero-days закрыты: исследователь под псевдонимом Nightmare Eclipse публично раскрыл серию Windows zero-days (BlueHammer, MiniPlasma, RedSun, UnDefend, YellowKey) в знак протеста против обращения Microsoft с его bug bounty программой. Все они закрыты в этом Patch Tuesday. Но исследователь предупредил о новом раскрытии 14 июня.
Отдельное предупреждение: отраслевые аналитики указывают на отчётливый катализатор этого всплеска уязвимостей — ИИ. Корпоративные security-команды и независимые исследователи агрессивно используют автоматизированные LLM-инструменты для аудита кодовых баз, обнаруживая программные дефекты со скоростью и масштабом которые традиционная ручная проверка не может догнать.
Итог: 200 CVE, рекорд, три zero-day, Hyper-V escape. И Secure Boot истекает через 15 дней. Патчи — сегодня.
#windows #patchtuesday #hyper-v #security #sysadmin #admin_future
Коллеги, вчера 10 июня вышел самый большой Patch Tuesday в истории. Разбираем что важно из 200 CVE.
Июньский релиз — крупнейший за всё время существования программы, включает 3 публично раскрытых zero-day, 33 критических уязвимости (28 из которых RCE) и ещё 55 RCE уязвимостей требующих немедленного внимания. Релиз вышел при 17 оставшихся днях до абсолютного дедлайна Secure Boot сертификатов 26 июня.
Три приоритета для сисадмина:
Приоритет 1 — Hyper-V guest escape (Critical): CVE-2026-47652, CVE-2026-45641 и CVE-2026-45607 — критические RCE уязвимости в Hyper-V способные позволить побег из виртуальной машины и выполнение кода. Если у вас Hyper-V — это патчить первым.
Приоритет 2 — HTTP/2 Bomb (CVE-2026-49160): атака злоупотребляет сжатием заголовков и управлением потоком HTTP/2 так что маленькие запросы вынуждают сервер аллоцировать непропорционально большие объёмы памяти и удерживать их. Для интернет-facing серверов с IIS — срочно.
Приоритет 3 — Nightmare Eclipse zero-days закрыты: исследователь под псевдонимом Nightmare Eclipse публично раскрыл серию Windows zero-days (BlueHammer, MiniPlasma, RedSun, UnDefend, YellowKey) в знак протеста против обращения Microsoft с его bug bounty программой. Все они закрыты в этом Patch Tuesday. Но исследователь предупредил о новом раскрытии 14 июня.
# Проверяем установлен ли июньский патч:
Get-HotFix | Where-Object {$_.InstalledOn -ge "2026-06-09"} |
Select-Object HotFixID, InstalledOn |
Sort-Object InstalledOn -Descending | Select-Object -First 3
# Проверяем Microsoft Defender Engine (CVE-2026-41091 — уже пропатчен через автообновление):
Get-MpComputerStatus | Select-Object AMEngineVersion
# Нужна версия 1.1.26040.8 или новее
# Для Hyper-V хостов — приоритет первый:
Get-VM | Select-Object Name, State, Version
# Ставим патч и перезагружаем хост в окно обслуживания
# HTTP.sys — проверяем открыт ли HTTP/2:
netsh http show servicestate | grep -i "http/2"
# Временный митигейшн — отключить HTTP/2:
netsh http add sslcert ... # или через IIS Manager -> HTTP/2 -> Disable
# Secure Boot — дедлайн 26 июня (15 дней):
Get-ItemProperty `
"HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing\" `
-Name "UEFICA2023Status" -ErrorAction SilentlyContinue
# Если не "Updated" — немедленно запускаем:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
Отдельное предупреждение: отраслевые аналитики указывают на отчётливый катализатор этого всплеска уязвимостей — ИИ. Корпоративные security-команды и независимые исследователи агрессивно используют автоматизированные LLM-инструменты для аудита кодовых баз, обнаруживая программные дефекты со скоростью и масштабом которые традиционная ручная проверка не может догнать.
Итог: 200 CVE, рекорд, три zero-day, Hyper-V escape. И Secure Boot истекает через 15 дней. Патчи — сегодня.
#windows #patchtuesday #hyper-v #security #sysadmin #admin_future