Op 12 mei 2026 rolt Microsoft de volgende Patch Tuesday uit. April was een uitzonderlijk drukke maand met 167 patches en twee actief misbruikte zero-days, waaronder BlueHammer en de SharePoint-spoofingbug. Wat zijn de aandachtspunten voor IT-beheerders die zich nu voorbereiden op mei?
Op dinsdag 12 mei 2026 rolt Microsoft de volgende Patch Tuesday uit. Voor IT-beheerders is dit elke maand een vast moment om de beveiligingsupdates van Microsoft te beoordelen, te testen en uit te rollen. De maand april was uitzonderlijk druk met 167 patches en twee actief misbruikte zero-days. Reden genoeg om nu, een dag voor de meirelease, terug te kijken en vooruit te plannen.
De Patch Tuesday van 8 april 2026 bevatte 167 beveiligingsupdates, waarvan acht als kritiek geclassificeerd. Twee daarvan zijn van bijzonder belang omdat ze actief werden misbruikt op het moment van de release: CVE-2026-32201, de SharePoint-spoofingbug die we eerder dit jaar bespraken, en CVE-2026-33825, beter bekend onder de bijnaam BlueHammer.
BlueHammer is een lokale privilege escalation in Microsoft Defender. Een aanvaller die al voet aan de grond heeft op een Windows-systeem kan via de signatuur-updateprocedure van Defender SYSTEM-rechten verkrijgen. Het is een zorgwekkende kwetsbaarheid omdat de tool die juist bedoeld is om beveiliging te bieden, hier het aanvalspunt vormt. Onderzoekers publiceerden de details op 3 april, vijf dagen voor Microsofts patch.
Naast deze twee zero-days bevatte april ook ernstige remote code execution lekken in Windows IKE Service Extensions, met een CVSS-score van 9.8, en in de Windows TCP/IP-stack met een score van 8.1. Beide vereisen geen authenticatie, wat ze tot eersteklas aanvalsdoelen maakt voor wormvormige verspreiding in een netwerk.
Microsoft publiceert geen voorinformatie over Patch Tuesday-releases. Wat we wel kunnen zeggen op basis van patronen uit eerdere maanden is dat het volume in de tweede helft van het jaar doorgaans hoger ligt dan in de eerste maanden, en dat de aandachtsgebieden steeds vaker liggen bij identiteitsmanagement (Entra ID), endpoint security (Defender) en de cloud-koppelingen tussen on-premises en Azure.
Een verstandige aanpak is om woensdagochtend 13 mei direct het CrowdStrike-, ZDI- of Krebs-overzicht door te nemen, deze publicaties bieden binnen 24 uur een gestructureerde samenvatting van de belangrijkste CVE's en hun praktische impact. Voor organisaties met SCCM, Intune of WSUS is een testkring van vijf tot tien apparaten met een doorlooptijd van twee tot vijf werkdagen een goede balans tussen snelheid en zorgvuldigheid.
Drie acties zijn de moeite waard om voor 12 mei af te ronden. Ten eerste, controleer of de aprilpatches volledig zijn uitgerold in uw omgeving. Microsoft Defender voor Endpoint en Microsoft Update Compliance laten zien hoeveel apparaten nog niet op de aprilbaseline draaien. Apparaten die nog niet op de aprilbaseline zitten, kunnen geen hotpatchupdates ontvangen wanneer die functie in mei standaard wordt geactiveerd.
Ten tweede, herzie uw patchstrategie voor SharePoint Server on-premises als u die nog draait. CVE-2026-32201 is in april opgenomen in de Known Exploited Vulnerabilities-lijst van CISA. Als u deze nog niet heeft gepatcht, is dit het moment voor een spoedinventarisatie.
Ten derde, controleer of Microsoft Defender op alle endpoints volledig is gepatcht en draait op de meest recente engine- en signatuurversie. BlueHammer raakte alleen omgevingen die op een verouderde Defender-engine draaien. Dit is een goed moment om de defenderengine-updatecyclus van uw organisatie te valideren.
Een belangrijk punt voor mei: vanaf 12 mei 2026 schakelt Microsoft Windows Hotpatch standaard in voor alle apparaten die via Windows Autopatch worden beheerd en aan de hardware- en licentievereisten voldoen. Hotpatch installeert beveiligingsupdates zonder herstart, rechtstreeks in het geheugen van draaiende processen.
Voor IT-beheerders die deze automatische activering bewust willen voorkomen, is sinds 1 april een opt-outknop beschikbaar in het Intune-beheercentrum. Wie geen actie onderneemt, schakelt automatisch over op de nieuwe updatestroom. Voor de meeste organisaties is dat goed nieuws, minder herstarts betekent minder onderbrekingen voor de eindgebruiker.
Een praktische werkstroom voor de meirelease ziet er als volgt uit. Op 12 mei rond 19:00 Nederlandse tijd publiceert Microsoft de updates. Op 13 mei in de ochtend leest u de samenvatting bij CrowdStrike, ZDI of Krebs. Diezelfde dag controleert u of er CVE's zijn die uw kritieke systemen raken en kunt u beoordelen of de standaard testkring volstaat of dat een spoedrol nodig is.
Op donderdag 14 mei start de uitrol naar de testkring. Op maandag 19 mei beoordeelt u de logs en gebruikersmeldingen uit de testkring. Tussen 20 en 23 mei rolt u uit naar de bredere productieomgeving. Eind mei controleert u of alle apparaten op de meibaseline draaien, met behulp van Update Compliance of een vergelijkbare rapportage.
Als de meirelease een actief misbruikte zero-day bevat in een component dat in uw omgeving via internet bereikbaar is, schaal de uitrol op. In dat geval is het verstandig om de testkring binnen 24 uur door te lopen en bij positief testresultaat dezelfde week een productie-uitrol te starten. De aprilrelease met BlueHammer en de SharePoint-bug was zo'n geval.
Wilt u advies over de patchstrategie voor uw organisatie of hulp bij het inrichten van Windows Autopatch en het opzetten van een testkring? Neem contact op met Zarioh.
Was dit artikel nuttig?
Ontvang nieuwe artikelen direct in je inbox.
Geen spam. Afmelden kan altijd.
