Microsoftin toukokuun 2026 Patch Tuesday -päivitykset korjaavat yhteensä 120 haavoittuvuutta Windowsissa, Officessa, SharePointissa ja muissa Microsoftin tuotteissa. Vaikka mukana ei tällä kertaa ollut julkisesti tiedossa olevia zero-day-haavoittuvuuksia, päivitykset kannattaa asentaa viivyttelemättä.
Microsoft julkaisi 12.5.2026 toukokuun Patch Tuesday -tietoturvapäivitykset. Päivitysten mukana korjattiin 120 haavoittuvuutta, joista 17 on luokiteltu kriittisiksi. Kriittisistä haavoittuvuuksista 14 liittyy etäkoodinsuoritukseen, eli tilanteeseen, jossa hyökkääjä voi tietyissä olosuhteissa suorittaa haitallista koodia kohdejärjestelmässä.
Tämän kuukauden päivityksissä ei Microsoftin mukaan ollut mukana julkisesti tiedossa olevia zero-day-haavoittuvuuksia. Tämä ei kuitenkaan tarkoita, että päivityksiä voisi jättää odottamaan. Patch Tuesday -julkaisujen jälkeen hyökkääjät analysoivat usein korjauksia ja pyrkivät selvittämään, miten haavoittuvuuksia voidaan hyödyntää sellaisissa ympäristöissä, joissa päivityksiä ei ole vielä asennettu.
Yritysympäristöissä tämä tarkoittaa käytännössä sitä, että päivitysten hallinta, testaus ja käyttöönotto ovat edelleen kriittinen osa tietoturvaa.
Mitä haavoittuvuuksia korjattiin?
Toukokuun päivityksissä korostuivat erityisesti käyttöoikeuksien korotukseen ja etäkoodinsuoritukseen liittyvät haavoittuvuudet. Microsoftin päivityskokonaisuudessa raportoitiin muun muassa seuraavia haavoittuvuustyyppejä:
- käyttöoikeuksien korotukset
- etäkoodinsuoritus
- tietojen paljastuminen
- spoofing-haavoittuvuudet
- palvelunestoon liittyvät haavoittuvuudet
- tietoturvaominaisuuksien ohitukset
Käyttöoikeuksien korotukseen liittyvät haavoittuvuudet ovat yrityksille erityisen merkittäviä, koska niitä voidaan käyttää osana laajempaa hyökkäysketjua. Hyökkääjä voi ensin saada rajatun pääsyn yhteen järjestelmään ja sen jälkeen pyrkiä nostamaan oikeuksiaan, liikkumaan verkossa sivusuunnassa ja tavoittelemaan järjestelmänvalvojan oikeuksia.
Microsoft Office ja haitalliset liitetiedostot edelleen riskinä
Toukokuun päivityksissä korjattiin useita Microsoft Officeen, Wordiin ja Exceliin liittyviä haavoittuvuuksia. Osa näistä voi mahdollistaa etäkoodinsuorituksen, jos käyttäjä avaa haitallisesti muotoillun tiedoston.
Erityisen huomionarvoista on, että joidenkin Office-haavoittuvuuksien hyödyntäminen voi onnistua myös esikatselun kautta. Tämä tarkoittaa, että pelkkä tiedoston tarkastelu esimerkiksi Outlookin tai Windowsin esikatseluruudussa voi tietyissä tilanteissa kasvattaa riskiä.
Tämä tekee Office-päivityksistä erityisen tärkeitä organisaatioissa, joissa käsitellään paljon sähköpostiliitteitä, tarjouspyyntöjä, sopimuksia, Excel-tiedostoja tai muita ulkopuolelta tulevia dokumentteja.
Suomi Solutions suosittelee, että Office- ja Outlook-ympäristöjen päivitykset priorisoidaan korkealle erityisesti sellaisissa yrityksissä, joissa työntekijät käsittelevät päivittäin asiakkailta, toimittajilta tai yhteistyökumppaneilta tulevia tiedostoja.
Windows GDI -haavoittuvuus voi hyödyntää haitallista kuvatiedostoa
Yksi toukokuun kiinnostavimmista korjauksista on CVE-2026-35421, joka liittyy Windows GDI -komponenttiin. Haavoittuvuus voi mahdollistaa etäkoodinsuorituksen, jos käyttäjä avaa haitallisen Enhanced Metafile eli EMF-kuvatiedoston Microsoft Paintilla.
Kuvatiedostoihin liittyvät haavoittuvuudet jäävät helposti vähemmälle huomiolle, koska käyttäjät pitävät kuvia usein vaarattomina. Todellisuudessa tiedostojen käsittelyyn liittyvät virheet voivat olla hyökkääjille hyödyllisiä, koska haitallinen tiedosto voidaan naamioida esimerkiksi kuvaksi, esitysmateriaaliksi tai suunnitteluaineistoksi.
SharePoint Server -haavoittuvuus vaatii huomiota yritysympäristöissä
Microsoft korjasi myös CVE-2026-40365-haavoittuvuuden, joka koskee Microsoft SharePoint Serveriä. Kyseessä on kriittiseksi luokiteltu etäkoodinsuorituksen haavoittuvuus.
Haavoittuvuuden hyödyntäminen edellyttää autentikoitunutta hyökkääjää, mutta tämä ei poista riskiä. Monet vakavat tietomurrot alkavat varastetuilla tunnuksilla, jotka saadaan esimerkiksi tietojenkalastelulla, salasanojen uudelleenkäytöllä tai infostealer-haittaohjelmilla.
SharePoint on monessa organisaatiossa keskeinen dokumenttien, sisäisten palveluiden ja yhteistyöympäristöjen alusta. Siksi SharePoint-palvelimet kannattaa päivittää nopeasti, erityisesti jos ne ovat saavutettavissa internetistä tai kytkeytyvät laajasti organisaation sisäisiin järjestelmiin.
Windows DNS Client -haavoittuvuus on syytä priorisoida
Toinen kriittinen huomioitava haavoittuvuus on CVE-2026-41096, joka koskee Windows DNS Client -komponenttia. Haavoittuvuus voi mahdollistaa etäkoodinsuorituksen tilanteessa, jossa hyökkääjän hallitsema DNS-palvelin lähettää erityisesti muotoillun DNS-vastauksen haavoittuvalle Windows-järjestelmälle.
DNS on käytännössä kaikkien verkkojen peruspalvelu. Sitä käytetään jatkuvasti taustalla, usein ilman että käyttäjä huomaa mitään. Siksi DNS-komponentteihin liittyvät haavoittuvuudet ovat organisaatioille merkittäviä, etenkin jos päätelaitteet liikkuvat eri verkoissa, käyttävät langattomia verkkoja tai ovat alttiina epäluotettaville verkkoympäristöille.
Ei zero-day-haavoittuvuuksia, mutta riski ei ole matala
Vaikka toukokuun Patch Tuesday ei sisältänyt julkisesti tiedossa olevia zero-day-haavoittuvuuksia, päivitystä ei pidä tulkita vähäriskiseksi.
Kun haavoittuvuus on korjattu ja julkaistu, hyökkääjillä on usein käytössään selkeämpi kuva siitä, mitä komponenttia korjaus koskee. Tämän jälkeen hyökkääjät voivat pyrkiä kehittämään hyväksikäyttömenetelmiä sellaisia ympäristöjä vastaan, joissa päivityksiä ei ole vielä asennettu.
Tämä on yksi syy siihen, miksi päivitysten hallinta ei ole pelkkä tekninen rutiini, vaan olennainen osa yrityksen kyberturvaa.
Suomi Solutionsin suositukset yrityksille
Suomi Solutions suosittelee, että organisaatiot käyvät toukokuun Microsoft-päivitykset läpi hallitusti mutta nopeasti.
Erityistä huomiota kannattaa kiinnittää seuraaviin kohteisiin:
- Microsoft Office, Word, Excel ja Outlook
- SharePoint Server -ympäristöt
- Windows-työasemat ja palvelimet
- DNS-palveluihin ja verkkoympäristöihin liittyvät järjestelmät
- päätelaitteet, joilla käsitellään ulkopuolisia liitteitä ja ladattuja tiedostoja
Yrityksissä päivitykset kannattaa testata ensin hallitussa ympäristössä, mutta käyttöönottoa ei pidä tarpeettomasti viivästyttää. Mitä pidempi viive päivityksen julkaisun ja asennuksen välillä on, sitä enemmän aikaa hyökkääjillä on hyödyntää tunnettuja haavoittuvuuksia.
Päivitysten lisäksi tarvitaan kokonaisvaltaista suojausta
Pelkkä päivitysten asentaminen ei yksin riitä, mutta se on yksi tärkeimmistä tietoturvan perustoimenpiteistä. Hyvä suojaustaso rakentuu useista kerroksista:
- säännöllinen päivitysten hallinta
- päätelaitteiden suojaus ja valvonta
- sähköpostisuodatus ja liitetiedostojen tarkastus
- varmuuskopiointi
- käyttäjien tietoturvakoulutus
- lokien seuranta
- käyttöoikeuksien säännöllinen tarkistus
- palvelinten ja työasemien tietoturvatarkastukset
Suomi Solutions auttaa yrityksiä Microsoft 365 -ympäristöjen, työasemien, palvelinten ja tietoturvan hallinnassa. Jos yrityksenne ei ole varma, ovatko kriittiset päivitykset ajan tasalla, kannattaa asia tarkistaa mieluummin heti kuin vasta ongelmatilanteessa.
Yhteenveto
Microsoftin toukokuun 2026 Patch Tuesday korjaa 120 haavoittuvuutta, joista 17 on kriittisiä. Erityistä huomiota kannattaa kiinnittää Office-ympäristöihin, SharePoint Serveriin, Windows DNS Client -komponenttiin ja Windows GDI -haavoittuvuuteen.
Vaikka mukana ei ollut julkisesti tiedossa olevia zero-day-haavoittuvuuksia, päivitykset kannattaa asentaa nopeasti. Tunnetut haavoittuvuudet muuttuvat usein käytännön hyökkäysmenetelmiksi nopeasti sen jälkeen, kun korjaukset on julkaistu.
Suomi Solutions suosittelee tarkistamaan Microsoft-ympäristöjen päivitystilanteen ja varmistamaan, että kriittiset järjestelmät ovat ajan tasalla.
