Microsoft закрыла 83 уязвимости в мартовском Patch Tuesday, одну из них нашёл ИИ-агент

Microsoft выпустила мартовское обновление безопасности 11 марта 2026 года, закрыв 83 уязвимости. Восемь получили статус критических. Ни одна не использовалась в реальных атаках на момент публикации.

Впервые за полгода Patch Tuesday вышел без активно эксплуатируемых 0-day. На это обратил внимание Дастин Чайлдс (Dustin Childs), руководитель направления анализа угроз Trend Micro Zero Day Initiative. В феврале Microsoft исправляла шесть таких уязвимостей.

Две уязвимости были раскрыты публично до выхода обновления. CVE-2026-21262 (CVSS 8.8) позволяет злоумышленнику с минимальными правами получить привилегии системного администратора (полный административный доступ) в SQL Server 2016 и новее по сети. CVE-2026-26127 (CVSS 7.5) вызывает аварийное завершение приложений на .NET 9.0 и 10.0 через ошибку чтения за пределами буфера. Затронуты Windows, macOS и Linux.

Сатнам Наранг (Satnam Narang старший исследователь, Tenable) назвал обе 0-day «больше пугающими, чем реально опасными». Адам Барнетт (Adam Barnett) из Rapid7 возразил, заметив по поводу SQL Server, что «храбрым нужно быть тому, кто отложит это обновление».

Максимальную оценку CVSS 9.8 получила CVE-2026-21536 в сервисе Microsoft Devices Pricing Program (платформа для партнёров и дистрибьюторов). Microsoft уже устранила проблему на своей стороне, действий от пользователей не требуется. Но эта уязвимость примечательна по другой причине.

По данным Krebs on Security, её обнаружил XBOW, полностью автономный ИИ-агент для поиска уязвимостей. XBOW год занимает верхние строчки рейтинга вознаграждений за уязвимости на платформе HackerOne.

Хотя Microsoft уже устранила уязвимость, это подчёркивает сдвиг в сторону обнаружения сложных уязвимостей с помощью ИИ на растущей скорости.

— Бен Маккарти (Ben McCarthy), ведущий инженер по кибербезопасности, Immersive

Две уязвимости в Microsoft Office заслуживают отдельного внимания. CVE-2026-26113 и CVE-2026-26110 (обе CVSS 8.4) позволяют выполнить произвольный код через панель предварительного просмотра в проводнике Windows. Открывать файл не нужно. Джек Бицер (Jack Bicer директор по исследованию уязвимостей, Action1) рекомендует отключить панель предварительного просмотра и ограничить открытие файлов Office из ненадёжных источников до установки обновления.

Даже один вредоносный документ может скомпрометировать рабочую станцию и дать злоумышленнику точку закрепления внутри организации.

— Майк Уолтерс (Mike Walters), президент и сооснователь Action1

Microsoft отметила шесть уязвимостей как «Exploitation More Likely» (повышенная вероятность использования в атаках). Три из них затрагивают ядро Windows. CVE-2026-24289, CVE-2026-26132 и CVE-2026-24287 (все CVSS 7.8) позволяют повысить привилегии при низкой сложности атаки и без участия пользователя. По словам Амол Сарвате (Amol Sarwate руководитель отдела исследований безопасности, Cohesity), повышение привилегий остаётся «одним из главных методов злоумышленников для закрепления в сети».

55,4% всех закрытых уязвимостей связаны с повышением привилегий, 20,5% позволяют удалённое выполнение кода (по подсчётам Tenable). Обновление затрагивает Windows, SQL Server, .NET, Office, SharePoint, Active Directory, Azure, System Center Operations Manager и десятки других компонентов.

Обновление устанавливается через Windows Update. Администраторам SQL Server стоит в первую очередь закрыть CVE-2026-21262. Пользователям Office, не установившим обновление, рекомендуется отключить панель предварительного просмотра и ограничить вложения из ненадёжных источников.