Microsoft выпустила мартовское обновление безопасности 2026 года, закрыв 84 новые уязвимости. Среди них восемь получили статус критических, семьдесят шесть — статус важных. Отдельно были исправлены ещё 10 уязвимостей в браузере Edge на базе Chromium, накопившихся с февральского обновления. Но цифры сами по себе тут не главное. Главное — два публично раскрытых zero-day и общая картина, в которой больше 55% всех патчей пришлось на баги повышения привилегий.
Две уязвимости нулевого дня уже были известны на момент выхода патча. Первая, CVE-2026-26127, с оценкой CVSS 7.5, представляет собой уязвимость типа «отказ в обслуживании» . Вторая, CVE-2026-21262, оценена в 8.8 балла и позволяет повысить привилегии в SQL Server. Обе были публично раскрыты до выхода обновления, что означает: потенциальные злоумышленники уже могли начать разработку эксплойтов.
Самый высокий балл CVSS в этом обновлении — 9.8 из 10 — получила уязвимость CVE-2026-21536. Это критическая брешь удалённого выполнения кода в компоненте Microsoft Devices Pricing Program. Интересная деталь: Microsoft заявила, что уязвимость полностью устранена на стороне сервера и от пользователей не требуется никаких действий. Обнаружила её XBOW — платформа автономного поиска уязвимостей на базе искусственного интеллекта. То есть ИИ нашёл дыру, которую ИИ же мог бы и эксплуатировать. Ирония тут вполне ощутимая.
Сатнам Наранг, старший исследователь компании Tenable, обратил внимание на доминирование багов повышения привилегий. По его оценке, более половины всех CVE в этом обновлении — это именно они. Используются такие уязвимости после первоначального проникновения, когда атакующий уже оказался внутри системы через социальную инженерию или другой эксплойт. Шесть из этих багов получили пометку «эксплуатация наиболее вероятна». Затронуты: Windows Graphics Component, Windows Accessibility Infrastructure, ядро Windows, Windows SMB Server и Winlogon.
Отдельного упоминания заслуживает уязвимость в Winlogon — CVE-2026-25187, CVSS 7.8. Она позволяет получить привилегии уровня SYSTEM через некорректное разрешение ссылок. Не требует взаимодействия с пользователем, сложность атаки низкая. Обнаружил её Джеймс Форшоу из Google Project Zero. Для любого, кто знаком с работами Форшоу, это тревожный сигнал: он известен тем, что находит именно те уязвимости, которые реально эксплуатируемы, а не теоретически опасны.
Ещё одна заметная проблема — CVE-2026-26118 в Azure Model Context Protocol (MCP) Server. CVSS 8.8, тип — подделка запросов на стороне сервера (SSRF). Механизм атаки таков: авторизованный пользователь может подставить вредоносный URL вместо обычного идентификатора ресурса Azure. MCP-сервер отправит исходящий запрос, содержащий токен управляемой идентификации, и атакующий перехватит его без необходимости обладать правами администратора. После этого он получает доступ к неавторизованным ресурсам. Учитывая растущую популярность MCP-серверов в облачных инфраструктурах, такая уязвимость может затронуть немало организаций.
Особняком стоит уязвимость в Microsoft Excel — CVE-2026-26144, CVSS 7.5, статус критический. Формально это баг раскрытия информации, реализуемый через межсайтовый скриптинг из-за некорректной нейтрализации входных данных при генерации веб-страниц. Но самое неприятное — это zero-click атака, которая потенциально способна заставить режим Copilot Agent незаметно выгружать данные. Алекс Вовк, генеральный директор и сооснователь компании Action1, подчеркнул, что корпоративные файлы Excel часто содержат финансовую отчётность, интеллектуальную собственность и операционные данные. «Продуктивные функции с поддержкой ИИ увеличивают поверхность атаки, потому что автоматизированные агенты могут тихо извлекать чувствительные данные», — предупредил Вовк.
Помимо непосредственно патчей, Microsoft объявила о скором изменении в работе Windows Autopatch. Начиная с майского обновления безопасности 2026 года компания по умолчанию включит hotpatch-обновления для устройств в Microsoft Intune и тех, что подключены через Microsoft Graph API. Суть нововведения: исправления безопасности будут применяться без ожидания перезагрузки. По заявлениям Microsoft, это позволит организациям достигать 90% соответствия требованиям безопасности вдвое быстрее, чем сейчас. Звучит многообещающе, хотя любой администратор со стажем скажет, что «без перезагрузки» и «без проблем» — далеко не синонимы.
Мартовский Patch Tuesday 2026 года рисует довольно характерную картину: атакующие всё чаще делают ставку на постэксплуатационные техники. Получить первичный доступ через фишинг или скомпрометированную учётную запись — дело привычное. А вот дальше нужны привилегии, и именно здесь больше полусотни исправленных багов в этом обновлении становятся по-настоящему актуальными. Факт обнаружения критической уязвимости с помощью ИИ-платформы (XBOW), вместе с zero-click эксплойтом через Copilot Agent в Excel, задаёт неудобные вопросы о том, куда движется баланс между автоматизацией и безопасностью.
Изображение носит иллюстративный характер
Две уязвимости нулевого дня уже были известны на момент выхода патча. Первая, CVE-2026-26127, с оценкой CVSS 7.5, представляет собой уязвимость типа «отказ в обслуживании» . Вторая, CVE-2026-21262, оценена в 8.8 балла и позволяет повысить привилегии в SQL Server. Обе были публично раскрыты до выхода обновления, что означает: потенциальные злоумышленники уже могли начать разработку эксплойтов.
Самый высокий балл CVSS в этом обновлении — 9.8 из 10 — получила уязвимость CVE-2026-21536. Это критическая брешь удалённого выполнения кода в компоненте Microsoft Devices Pricing Program. Интересная деталь: Microsoft заявила, что уязвимость полностью устранена на стороне сервера и от пользователей не требуется никаких действий. Обнаружила её XBOW — платформа автономного поиска уязвимостей на базе искусственного интеллекта. То есть ИИ нашёл дыру, которую ИИ же мог бы и эксплуатировать. Ирония тут вполне ощутимая.
Сатнам Наранг, старший исследователь компании Tenable, обратил внимание на доминирование багов повышения привилегий. По его оценке, более половины всех CVE в этом обновлении — это именно они. Используются такие уязвимости после первоначального проникновения, когда атакующий уже оказался внутри системы через социальную инженерию или другой эксплойт. Шесть из этих багов получили пометку «эксплуатация наиболее вероятна». Затронуты: Windows Graphics Component, Windows Accessibility Infrastructure, ядро Windows, Windows SMB Server и Winlogon.
Отдельного упоминания заслуживает уязвимость в Winlogon — CVE-2026-25187, CVSS 7.8. Она позволяет получить привилегии уровня SYSTEM через некорректное разрешение ссылок. Не требует взаимодействия с пользователем, сложность атаки низкая. Обнаружил её Джеймс Форшоу из Google Project Zero. Для любого, кто знаком с работами Форшоу, это тревожный сигнал: он известен тем, что находит именно те уязвимости, которые реально эксплуатируемы, а не теоретически опасны.
Ещё одна заметная проблема — CVE-2026-26118 в Azure Model Context Protocol (MCP) Server. CVSS 8.8, тип — подделка запросов на стороне сервера (SSRF). Механизм атаки таков: авторизованный пользователь может подставить вредоносный URL вместо обычного идентификатора ресурса Azure. MCP-сервер отправит исходящий запрос, содержащий токен управляемой идентификации, и атакующий перехватит его без необходимости обладать правами администратора. После этого он получает доступ к неавторизованным ресурсам. Учитывая растущую популярность MCP-серверов в облачных инфраструктурах, такая уязвимость может затронуть немало организаций.
Особняком стоит уязвимость в Microsoft Excel — CVE-2026-26144, CVSS 7.5, статус критический. Формально это баг раскрытия информации, реализуемый через межсайтовый скриптинг из-за некорректной нейтрализации входных данных при генерации веб-страниц. Но самое неприятное — это zero-click атака, которая потенциально способна заставить режим Copilot Agent незаметно выгружать данные. Алекс Вовк, генеральный директор и сооснователь компании Action1, подчеркнул, что корпоративные файлы Excel часто содержат финансовую отчётность, интеллектуальную собственность и операционные данные. «Продуктивные функции с поддержкой ИИ увеличивают поверхность атаки, потому что автоматизированные агенты могут тихо извлекать чувствительные данные», — предупредил Вовк.
Помимо непосредственно патчей, Microsoft объявила о скором изменении в работе Windows Autopatch. Начиная с майского обновления безопасности 2026 года компания по умолчанию включит hotpatch-обновления для устройств в Microsoft Intune и тех, что подключены через Microsoft Graph API. Суть нововведения: исправления безопасности будут применяться без ожидания перезагрузки. По заявлениям Microsoft, это позволит организациям достигать 90% соответствия требованиям безопасности вдвое быстрее, чем сейчас. Звучит многообещающе, хотя любой администратор со стажем скажет, что «без перезагрузки» и «без проблем» — далеко не синонимы.
Мартовский Patch Tuesday 2026 года рисует довольно характерную картину: атакующие всё чаще делают ставку на постэксплуатационные техники. Получить первичный доступ через фишинг или скомпрометированную учётную запись — дело привычное. А вот дальше нужны привилегии, и именно здесь больше полусотни исправленных багов в этом обновлении становятся по-настоящему актуальными. Факт обнаружения критической уязвимости с помощью ИИ-платформы (XBOW), вместе с zero-click эксплойтом через Copilot Agent в Excel, задаёт неудобные вопросы о том, куда движется баланс между автоматизацией и безопасностью.
