Microsoft's February Patch Tuesday Just Got Real: Six Zero-Days Already Under Attack
Six zero-day vulnerabilities. Actively being exploited. Right now.
That's what Microsoft dropped on us this week, buried inside a patch release for over 50 total vulnerabilities across Windows and related software. According to Krebs on Security, this isn't theoretical—these aren't vulnerabilities that might someday be weaponized. They're being actively exploited in the wild, which means attackers have already figured out how to abuse them and are doing so as we speak.
If you've been watching the Microsoft cyber attack news cycle over the past couple of years, you've probably noticed the frequency of these incidents keeps climbing. We saw serious activity in July 2024, then more disruptions throughout 2025. But this February update represents something particularly nasty because it's not a zero-day that was discovered and responsibly disclosed—these were found out the hard way, through actual compromise attempts.
Breaking It Down
Let's be clear about what we're dealing with here. Out of 50+ vulnerabilities patched in this Patch Tuesday release, six of them had zero days before Microsoft even knew about them. That means attackers found exploitable weaknesses, developed working attacks, and deployed them in real environments before the company had any chance to prepare a fix.
Frankly, this should have been caught sooner.
The scope is broad. We're talking Windows systems across multiple versions, plus other Microsoft products that run everywhere from corporate data centers to small business networks. And here's what makes it worse: the gap between when the vulnerability existed and when patches became available represents a window where anyone could've been compromised. Some organizations might still be vulnerable if they haven't applied these updates yet.
This follows a troubling pattern. The Microsoft cyber attack landscape has shifted dramatically. In July 2024, we saw major incidents that exposed the company's patch management challenges. Throughout 2025, that didn't improve much. Now we're in 2026 with six active zero-days, which suggests either the threat actors are getting smarter or Microsoft's internal security processes need a serious overhaul—possibly both.
The Technical Side
Without diving into specifics that could help the wrong people, zero-day exploits work because they target code paths that were never tested under adversarial conditions. Microsoft's developers wrote the code thinking about legitimate use cases. Attackers thought about breaking it in ways nobody anticipated.
Once a zero-day is discovered through active exploitation, reversing it becomes urgent but complicated. Researchers have to figure out exactly what the attacker was doing, validate that it actually works, build a fix, test it across every supported platform, and release it—all while making sure the patch doesn't break anything else. That's what happened here. The fact that we got 50+ patches in one release suggests Microsoft's teams have been working overtime.
But the real question is: how many other organizations are still patching? Patch Tuesday issues aren't just about availability—they're about deployment speed. Even after patches exist, there's usually a lag before systems get updated, especially in environments with change management processes or legacy software.
Who's Affected
Potentially everyone running Windows or Microsoft-adjacent software. We're talking enterprises, government agencies, small businesses, nonprofits. If you've got a device running Windows, you should assume you're in scope until proven otherwise.
The six zero-days that were actively exploited likely affected specific targets initially—probably high-value organizations that attackers were specifically trying to compromise. But that's almost irrelevant now. Once the attack code exists and researchers start documenting the vulnerabilities (which they will), the threat expands exponentially. Vulnerability brokers will analyze these. Exploit databases will be updated. By next week, less-sophisticated attackers will have working tools.
What To Do Now
Install these patches immediately. Not this week. Not when you have a maintenance window. Today, if possible.
If you're managing systems for other people—IT team, managed service provider, whatever your role is—this is your priority. Queue up the Windows updates, test them in a non-critical environment first if you must, then deploy. The risk of running unpatched systems right now exceeds the risk of a bad patch in this case.
For individual users, check Windows Update settings. Make sure automatic updates are enabled. Restart your system if prompted. Yes, it's inconvenient. Six zero-days being actively exploited is more inconvenient.
And if you're tracking patch Tuesday vulnerability numbers as part of security monitoring—congrats, you've got your work cut out for you. Document which systems you've patched. Track which ones are still pending. That forensic trail matters if you need to investigate whether you were compromised before the patches were available.
Microsoft's February Patch Tuesday Just Got Real: Six Zero-Days Already Under Attack
Шість вразливостей нульового дня. Активно експлуатуються. Прямо зараз.
Ось що Microsoft видав нам на цьому тижні, схованого всередину випуску патчів для понад 50 загальних вразливостей у Windows та пов'язаному програмному забезпеченні. Згідно з Krebs on Security, це не теорія—це не вразливості, які могли б коли-небудь бути озброєні. Вони активно експлуатуються в дикій природі, що означає, що зловмисники вже розібралися, як їх використовувати, і роблять це прямо зараз.
Якщо ви спостерігали цикл новин про кібератаки Microsoft протягом останніх двох років, ви, мабуть, помітили, що частота цих інцидентів постійно зростає. Ми бачили серйозну активність у липні 2024 року, потім більше збоїв протягом 2025 року. Але це оновлення лютого представляє щось особливо неприємне, тому що це не нульовий день, який був виявлений і відповідально розкритий—вони були знайдені важким способом, через фактичні спроби компрометації.
Розбір
Давайте будемо чіткі щодо того, з чим ми маємо справу. З понад 50 вразливостей, пропатчених у цьому випуску Patch Tuesday, шість з них мали нульові дні до того, як Microsoft взагалі про них дізналася. Це означає, що зловмисники знайшли експлуатабельні слабкості, розробили робочі атаки та розгорнули їх у реальних середовищах, перш ніж компанія мала якийсь шанс підготувати виправлення.
Щиро кажучи, це повинно було бути виловлено раніше.
Масштаб широкий. Мова йде про системи Windows у кількох версіях, а також про інші продукти Microsoft, які працюють від корпоративних центрів обробки даних до невеликих мереж компаній. І ось що робить це гіршим: розрив між тим, коли вразливість існувала, і коли патчі стали доступними, представляє вікно, коли будь-хто міг бути скомпрометований. Деякі організації можуть залишатися вразливими, якщо вони ще не застосували ці оновлення.
Це слідує тривожній закономірності. Ландшафт кібератак Microsoft суттєво змінився. У липні 2024 року ми бачили великі інциденти, які розкрили проблеми Microsoft з управлінням патчами. Протягом 2025 року це не покращилося. Тепер ми у 2026 році з шістьма активними нульовими днями, що свідчить про те, що або суб'єкти загрози стають розумнішими, або внутрішні процеси безпеки Microsoft потребують серйозної переробки—можливо, обидва.
Технічна сторона
Не заглиблюючись в конкретику, яка може допомогти невідповідним людям, експлойти нульового дня працюють тому, що вони спрямовані на шляхи коду, які ніколи не були протестовані в умовах, які враховують супротив. Розробники Microsoft писали код, думаючи про легітимні випадки використання. Зловмисники думали про розбиття його способами, які ніхто не передбачав.
Коли нульовий день виявляється через активну експлуатацію, його реверс-інженерінг стає невідкладним, але складним. Дослідникам потрібно розібратися, що саме робив зловмисник, перевірити, що це насправді працює, побудувати виправлення, протестувати його на кожній підтримуваній платформі та випустити його—все це, переконуючись, що патч не розбиває нічого іншого. Ось що сталося тут. Той факт, що ми отримали 50+ патчів в одному випуску, свідчить про те, що команди Microsoft працювали наднормово.
Але справжнє запитання: скільки інших організацій ще патчуються? Проблеми Patch Tuesday—це не просто питання доступності—це питання швидкості розгортання. Навіть після того, як патчи існують, зазвичай є затримка, перш ніж системи оновляться, особливо в середовищах з процесами управління змінами або застарілим програмним забезпеченням.
Хто страждає
Потенційно кожен, хто запускає Windows або суміжне програмне забезпечення Microsoft. Мова йде про підприємства, державні установи, малі компанії, некомерційні організації. Якщо у вас є пристрій під управлінням Windows, ви повинні припустити, що ви в межах охоплення, поки не буде доведено протилежне.
Шість нульових днів, які активно експлуатувалися, ймовірно, спочатку вплинули на конкретні цілі—ймовірно, на організації високої цінності, які зловмисники спеціально намагалися скомпрометувати. Але це майже неактуально зараз. Коли код атаки існує і дослідники почнуть документувати вразливості (що вони зроблять), загроза розширюється експоненціально. Брокери вразливостей будуть аналізувати їх. Бази даних експлойтів будуть оновлені. На наступному тижні менш складні зловмисники матимуть робочі інструменти.
Що робити зараз
Встановіть ці патчі негайно. Не цього тижня. Не коли у вас є вікно обслуговування. Сьогодні, якщо це можливо.
Якщо ви керуєте системами для інших людей—IT команда, керований постачальник послуг, яким би не була ваша роль—це ваш пріоритет. Поставте в чергу оновлення Windows, протестуйте їх у некритичному середовищі спочатку, якщо потрібно, потім розгорніть. Ризик запуску непропатчених систем прямо зараз перевищує ризик поганого патчу в цьому випадку.
Для індивідуальних користувачів перевірте параметри Windows Update. Переконайтеся, що автоматичні оновлення увімкнені. Перезавантажте вашу систему, якщо потрібно. Так, це незручно. Шість нульових днів, які активно експлуатуються, це більш незручно.
І якщо ви відстежуєте кількість вразливостей Patch Tuesday в рамках моніторингу безпеки—поздоровлення, у вас буде багато роботи. Задокументуйте, які системи ви пропатчили. Відстежуйте, які все ще очікуються. Цей форензичний слід має значення, якщо вам потрібно розслідувати, чи були ви скомпрометовані до того, як патчі були доступні.