Sources : Krebs on Security · BleepingComputer · Cisco Talos
Référence : Microsoft Security Update Guide, mars 2026
Public cible : Administrateurs Windows, équipes SOC, CERT/CSIRT, responsables patch management
Exécutive Summary
Microsoft a publié le 10 mars 2026 les mises à jour de sécurité de son Patch Tuesday mensuel. Ce cycle corrige 79 vulnérabilités couvrant Windows, Office, SQL Server, Azure et plusieurs composants tiers. Trois vulnérabilités sont classées Critical, les autres étant qualifiées Important.
La répartition par catégorie est la suivante :
- 46 vulnérabilités d’élévation de privilèges (EoP)
- 18 vulnérabilités d’exécution de code à distance (RCE)
- 10 vulnérabilités de divulgation d’informations
- 4 vulnérabilités de déni de service (DoS)
- 4 vulnérabilités de spoofing
- 2 vulnérabilités de contournement de fonctionnalité de sécurité
Ce décompte n’inclut pas les 9 correctifs Microsoft Edge publiés séparément, ni les correctifs Azure, Mariner, ou Microsoft Devices Pricing Program émis en amont.
Deux zero-days publiquement divulgués
Aucun zero-day activement exploité n’est signalé ce mois-ci, ce qui tranche avec le Patch Tuesday de février 2026 qui en comptait cinq. En revanche, deux vulnérabilités étaient publiquement connues avant la publication des correctifs.
CVE-2026-21262 : SQL Server, élévation de privilèges (CVSS 8.8)
Cette vulnérabilité résulte d’un contrôle d’accès défaillant dans SQL Server. Un attaquant authentifié peut élever ses privilèges jusqu’au niveau sysadmin via le réseau. Elle affecte SQL Server 2016 et les éditions ultérieures.
Adam Barnett de Rapid7 souligne que la note CVSS de 8.8 est juste en dessous du seuil Critical, uniquement parce que des privilèges bas sont requis en prérequis. L’impact potentiel reste élevé et justifie une application prioritaire des correctifs.
La vulnérabilité avait été initialement divulguée dans l’article Packaging Permissions in Stored Procedures par Erland Sommarskog, crédité comme découvreur.
CVE-2026-26127 : .NET, déni de service
Lecture hors limites dans .NET permettant à un attaquant non authentifié de provoquer un déni de service via le réseau. L’impact immédiat est limité à un crash applicatif, avec un potentiel d’exploitation plus large lors du redémarrage du service. Attribuée à un chercheur anonyme.
Vulnérabilités critiques
Microsoft Office RCE via le volet de prévisualisation
CVE-2026-26113 (confusion de types) et CVE-2026-26110 (déréférencement de pointeur non fiable) sont deux failles d’exécution de code à distance dans Microsoft Office, toutes deux classées Critical. Elles peuvent être déclenchées par simple visualisation d’un message dans le volet de prévisualisation, sans interaction supplémentaire de la part de l’utilisateur.
Ces deux CVE constituent la priorité de patching la plus urgente de ce cycle pour les environnements utilisant Outlook ou tout client exposant le volet de prévisualisation Office.
CVE-2026-26144 : Microsoft Excel, divulgation d’informations via Copilot (Critical)
Cette vulnérabilité résulte d’une neutralisation incorrecte des entrées dans Excel. Elle pourrait permettre à un attaquant de forcer Copilot Agent Mode à exfiltrer des données via un trafic réseau non prévu, réalisant ainsi une attaque de divulgation d’informations sans clic de la part de la victime. Microsoft la qualifie d’exploitation « peu probable », mais son vecteur via l’IA générative intégrée mérite une attention particulière dans les environnements utilisant Microsoft 365 Copilot.
Vulnérabilités « exploitation plus probable » à prioriser
Cisco Talos et Tenable signalent six vulnérabilités supplémentaires qualifiées Important par Microsoft, mais dont l’exploitation est jugée « plus probable » :
| CVE | Composant | Impact |
|---|---|---|
| CVE-2026-23668 | Windows Graphics Component | EoP |
| CVE-2026-24291 | Windows Accessibility Infrastructure (ATBroker.exe) | EoP, SYSTEM (CVSS 7.8) |
| CVE-2026-24294 | Windows SMB Server | EoP, SYSTEM (CVSS 7.8) |
| CVE-2026-24289 | Windows Kernel | EoP, corruption mémoire (CVSS 7.8) |
| CVE-2026-25176 | Ancillary Function Driver for WinSock | EoP |
| CVE-2026-25187 | Winlogon | EoP, découverte par Google Project Zero (CVSS 7.8) |
Ces vulnérabilités ciblent des composants fondamentaux de Windows. Leur priorisation est recommandée même en l’absence d’exploitation confirmée.
À noter : première CVE officiellement attribuée à un agent IA
CVE-2026-21536 concerne le composant Microsoft Devices Pricing Program et est notée 9.8 (Critical). La particularité de cette CVE : elle a été découverte par XBOW, un agent de test de pénétration entièrement autonome basé sur l’IA.
XBOW figure régulièrement en tête du classement HackerOne depuis plus d’un an. Microsoft a corrigé la vulnérabilité côté serveur sans nécessiter d’action de la part des utilisateurs finaux.
Ben McCarthy d’Immersive Labs commente que cette CVE illustre la capacité des agents IA à identifier des vulnérabilités critiques sans accès au code source, et signale l’entrée de la recherche en vulnérabilités assistée par IA dans le périmètre officiel des CVE.
Autres points notables
Azure MCP Server (CVE-2026-26118, CVSS 8.8) : vulnérabilité SSRF permettant à un attaquant d’envoyer une URL malveillante à un outil MCP Server. Le serveur effectue alors une requête sortante vers cette URL, potentiellement en incluant son managed identity token. L’attaquant récupère ce token et obtient les permissions associées à l’identité compromise, sans gain de droits tenant-level.
Windows SMB Server (CVE-2026-26128) : authentification incorrecte permettant l’élévation de privilèges jusqu’à SYSTEM via le réseau.
SharePoint Server (CVE-2026-26106 et CVE-2026-26114) : deux RCE exploitables par un attaquant authentifié disposant d’au moins les permissions Site Member.
Microsoft Authenticator (CVE-2026-26123) : divulgation d’informations, à surveiller dans les environnements MFA.
Autres éditeurs ayant publié des correctifs en mars 2026
- Adobe : correctifs pour Acrobat, Adobe Commerce, Illustrator, Substance 3D Painter, Premiere Pro. Aucune exploitation signalée.
- Mozilla : Firefox 148.0.2 corrige trois CVE de sévérité haute.
- Cisco : mises à jour de sécurité pour de nombreux produits.
- Fortinet : correctifs pour FortiOS, FortiPAM et FortiProxy.
- Google : bulletin Android de mars 2026 incluant un zero-day activement exploité dans un composant d’affichage Qualcomm.
- SAP : mises à jour de mars 2026 incluant deux vulnérabilités critiques.
- HPE : correctifs pour HPE Aruba Networking AOS-CX.
Microsoft a également publié le 2 mars 2026 une mise à jour hors cycle d’urgence pour Windows Server 2022, corrigeant un problème de renouvellement de certificat dans Windows Hello for Business.
Ressources complémentaires
| Source | URL |
|---|---|
| SANS ISC Patch Tuesday | https://isc.sans.edu/diary/ |
| Microsoft Security Update Guide | https://msrc.microsoft.com/update-guide/ |
| Krebs on Security | https://krebsonsecurity.com/2026/03/microsoft-patch-tuesday-march-2026-edition/ |
| BleepingComputer | https://www.bleepingcomputer.com/news/microsoft/microsoft-march-2026-patch-tuesday-fixes-2-zero-days-79-flaws/ |
| Cisco Talos | https://blog.talosintelligence.com/microsoft-patch-tuesday-march-2026/ |
| AskWoody (suivi des mises à jour problématiques) | https://www.askwoody.com |
On ne réfléchit pas, on patch !
