Мартовский «вторник обновлений» Microsoft принес более 80 исправлений безопасности, затрагивающих широкий спектр продуктов — от Windows и Office до облачной инфраструктуры Azure. В пакет вошли две публично раскрытые 0-day уязвимости и восемь багов критического уровня, что делает этот цикл обновлений особенно важным для корпоративных ИТ‑служб и администраторов безопасности.
Обзор мартовских обновлений безопасности Microsoft
Среди закрытых уязвимостей 46 связаны с повышением привилегий (Elevation of Privilege, EoP), что позволяет злоумышленнику перейти от ограниченного аккаунта к правам администратора или SYSTEM. Еще 18 уязвимостей допускают удаленное выполнение кода (Remote Code Execution, RCE), 10 приводят к несанкционированному раскрытию информации, четыре относятся к спуфингу (подмене идентичности), четыре — к отказу в обслуживании, а две позволяют обходить встроенные защитные механизмы. Такой профиль угроз характерен для сложных многоэтапных атак, где EoP‑баги комбинируются с RCE и уязвимостями приложений.
0-day уязвимости: публичное раскрытие без подтвержденной эксплуатации
Microsoft традиционно относит к 0-day не только уязвимости, которые уже активно эксплуатируются, но и те, о существовании которых стало публично известно до выхода патча. Обе мартовские 0-day попадают именно в эту категорию: по данным Microsoft, на момент выпуска обновлений подтвержденных атак с их использованием не зафиксировано. Однако факт публичного раскрытия автоматически повышает интерес атакующих, поэтому таким обновлениям стоит уделить приоритетное внимание при планировании установки патчей.
Критические RCE и повышенные риски для пользователей Microsoft Office
CVE-2026-21536: максимальный балл CVSS и устранение на стороне сервиса
Наибольшую оценку по шкале CVSS — 9,8 из 10 — получила критическая RCE‑уязвимость CVE-2026-21536 в Microsoft Devices Pricing Program. Теоретически успешная эксплуатация такой уязвимости позволяет злоумышленнику выполнить произвольный код на целевой системе с максимальными привилегиями. Однако Microsoft заявляет, что проблема полностью устранена на стороне сервиса, поэтому от клиентов не требуется установка каких‑либо дополнительных обновлений. Тем не менее сам факт наличия RCE с таким баллом подчеркивает важность регулярного аудита внешних сервисов и интеграций.
CVE-2026-26110 и CVE-2026-26113: атаки через панель предварительного просмотра Office
Отдельного внимания заслуживают две уязвимости удаленного выполнения кода в Microsoft Office — CVE-2026-26110 и CVE-2026-26113. Их особенность в том, что эксплуатация возможна через панель предварительного просмотра документов. Это означает, что для срабатывания атаки иногда достаточно не полноценного открытия файла, а лишь его просмотра в проводнике или почтовом клиенте. Такой вектор удобно использовать в фишинговых кампаниях, поэтому обновление Office до актуальной версии следует рассматривать как критический приоритет. В качестве временной меры можно ограничить или отключить панель предварительного просмотра в средах с повышенными требованиями к безопасности.
Новые векторы атак: Copilot, Excel и Azure MCP
CVE-2026-26144: утечка данных через Copilot Agent и XSS в Excel
Уязвимость CVE-2026-26144 (оценка 7,5 по CVSS) представляет собой баг раскрытия информации в Microsoft Excel, связанный с межсайтовым скриптингом (Cross-Site Scripting, XSS). По данным Microsoft, злоумышленник может использовать эту проблему, чтобы заставить режим Copilot Agent отправлять данные через внешние сетевые запросы. Фактически это позволяет реализовать zero-click сценарий, при котором пользователь не выполняет явных действий, а утечка конфиденциальной информации происходит в фоновом режиме. С учетом активного внедрения Copilot в рабочие процессы, такие уязвимости становятся важным элементом модели угроз для организаций, работающих с чувствительными данными.
CVE-2026-26118: SSRF в Azure Model Context Protocol (MCP) Server
Еще один показательный баг — CVE-2026-26118 (CVSS 8,8), уязвимость типа Server-Side Request Forgery (SSRF) в Azure Model Context Protocol Server. SSRF‑атаки позволяют злоумышленнику заставить серверный компонент отправлять сетевые запросы по заданному им адресу. В данном случае атакующий может подменить легитимный идентификатор ресурса Azure вредоносным URL, после чего MCP‑сервер выполнит запрос к этому адресу, включив в него токен managed identity. Такой токен открывает доступ ко всем ресурсам, на которые у него есть разрешения, что превращает уязвимость в потенциальный инструмент для горизонтального и вертикального перемещения внутри облачной инфраструктуры. Организациям, активно использующим managed identity в Azure, крайне важно оперативно установить соответствующие обновления и пересмотреть модель минимально необходимых привилегий.
Эксплоит для CVE-2026-21533 в RDP: цена непримененных патчей
На фоне мартовских патчей особый резонанс вызвала информация СМИ о продаже в даркнете эксплоита для уязвимости CVE-2026-21533, затрагивающей Windows Remote Desktop Services (RDP). Стоимость эксплоита оценивается в 220 000 долларов США, что обычно свидетельствует о высокой практической ценности для киберпреступников. Уязвимость позволяет повысить привилегии до уровня SYSTEM путем манипуляции ключом реестра, который определяет конфигурацию службы TermService (Remote Desktop Services). Для атаки требуется предварительный низкопривилегированный доступ к системе, но в сочетании с фишингом или эксплуатацией других багов это ограничение не является серьезным препятствием. Важно, что Microsoft закрыла CVE-2026-21533 еще в феврале 2026 года, поэтому продавец эксплоита, по всей видимости, ориентируется на организации, которые до сих пор не установили обновления. Это наглядно демонстрирует, как задержки с установкой патчей превращают уже исправленные уязвимости в эффективный инструмент атак.
Мартовский Patch Tuesday еще раз подчеркивает: своевременное управление обновлениями — ключевой элемент киберустойчивости. Организациям стоит в первую очередь установить патчи для публично раскрытых 0-day, критических RCE‑уязвимостей в Office, багов в Azure MCP и уязвимости RDP CVE-2026-21533, если февральские обновления до сих пор не внедрены. Рекомендуется использовать централизованные системы управления патчами, регулярно инвентаризировать активы, ограничивать использование RDP, применять принцип наименьших привилегий и мониторить официальные бюллетени Microsoft. Компании, которые выстраивают системный процесс обновлений и контроля конфигураций, значительно снижают риск успешных атак даже в условиях постоянного появления новых уязвимостей.
