Microsoft publie le 10 mars 2026 son Patch Tuesday mensuel : 79 vulnérabilités corrigées, dont deux zero-days publiquement divulgués avant la mise à disposition des correctifs. Deux failles critiques d’exécution de code à distance dans Microsoft Office (CVE-2026-26113 et CVE-2026-26110) peuvent être déclenchées par simple visualisation d’un message dans le volet de prévisualisation, sans aucune interaction de l’utilisateur.
Une troisième vulnérabilité critique affecte Microsoft Excel (CVE-2026-26144) : elle exploite Copilot Agent Mode pour exfiltrer des données via un trafic réseau non prévu, réalisant une attaque de divulgation d’informations sans clic.
Sur les zero-days, CVE-2026-21262 permet à un attaquant authentifié d’élever ses privilèges jusqu’au niveau sysadmin sur SQL Server 2016 et versions ultérieures (CVSS 8.8). CVE-2026-26127 expose le framework .NET à un déni de service réseau sans authentification préalable.
Six vulnérabilités supplémentaires qualifiées Important sont signalées comme prioritaires par Cisco Talos et Tenable : Windows Graphics Component, Windows Kernel, Windows Accessibility Infrastructure, Windows SMB Server, Ancillary Function Driver for WinSock et Winlogon, cette dernière découverte par Google Project Zero.
Ce cycle marque une première dans l’histoire des CVE : CVE-2026-21536, notée 9.8 Critical dans le composant Microsoft Devices Pricing Program, a été découverte par XBOW, un agent de test de pénétration entièrement autonome basé sur l’intelligence artificielle, sans accès au code source. Microsoft a corrigé la vulnérabilité côté serveur, sans action requise des utilisateurs.
Sources :
- Krebs on Security – Microsoft Patch Tuesday, March 2026 Edition : https://krebsonsecurity.com/2026/03/microsoft-patch-tuesday-march-2026-edition/
- BleepingComputer – Microsoft March 2026 Patch Tuesday Fixes 2 Zero-Days, 79 Flaws : https://www.bleepingcomputer.com/news/microsoft/microsoft-march-2026-patch-tuesday-fixes-2-zero-days-79-flaws/
- Cisco Talos – Microsoft Patch Tuesday for March 2026 : https://blog.talosintelligence.com/microsoft-patch-tuesday-march-2026/
- Blog Marc-Frédéric Gomez – Microsoft Patch Tuesday Mars 2026 : 79 vulnérabilités corrigées, deux zero-days divulgués : https://blog.marcfredericgomez.fr/microsoft-patch-tuesday-mars-2026-79-vulnerabilites-corrigees-deux-zero-days-divulgues/
On ne réfléchit pas, on patch !
Vos retours sont les bienvenus.
Répondeur : 07 68 72 20 09
Email : radiocsirt@gmail.com
Site web : www.radiocsirt.org
Newsletter Hebdo : https://radiocsirt.substack.com