Березневий «вівторок оновлень» Microsoft приніс понад 80 виправлень безпеки для Windows, Office, Azure та пов’язаних сервісів. До пакета увійшли дві публічно розкриті 0-day уразливості та вісім критичних багів, що робить цей цикл оновлень особливо важливим для корпоративних ІТ‑відділів і фахівців з кібербезпеки.
Березневі оновлення безпеки Microsoft: масштаби та профіль загроз
За даними бюлетеня Microsoft, серед закритих проблем 46 уразливостей стосуються підвищення привілеїв (Elevation of Privilege, EoP). Такі помилки дозволяють атакувальному акаунту з обмеженими правами отримати доступ рівня адміністратора або SYSTEM. Ще 18 уразливостей відносяться до віддаленого виконання коду (Remote Code Execution, RCE), 10 пов’язані з розкриттям інформації, чотири — зі спуфінгом, чотири — з відмовою в обслуговуванні та дві — з обходом механізмів захисту.
Подібний розподіл типів уразливостей характерний для реальних багаторівневих атак, де EoP використовується разом з RCE та вадами в додатках для закріплення в інфраструктурі, латерального переміщення та ексфільтрації даних. Для організацій це сигнал приділити пріоритетну увагу не лише «критичним» CVE, а й ланцюжкам експлуатації загалом.
Публічно розкриті 0-day: чому пріоритет патчів критичний
Microsoft відносить до 0-day як уразливості з підтвердженою експлуатацією, так і ті, інформація про які стала публічною до виходу патча. Обидві березневі 0-day належать до другої категорії: на момент релізу оновлень компанія не фіксувала реальних атак. Однак сам факт розголошення детальної інформації різко знижує «час до експлойту» — зловмисники можуть оперативно розробити та поширити робочі сценарії атак, орієнтуючись на непатчені системи.
Критичні RCE та ризики для користувачів Microsoft Office
CVE-2026-21536: RCE з CVSS 9,8, виправлена на боці сервісу
Найвищий бал за шкалою CVSS — 9,8 з 10 — отримала уразливість CVE-2026-21536 у Microsoft Devices Pricing Program. Потенційно вона дозволяє виконати довільний код із максимальними привілеями. Microsoft зазначає, що проблему вже усунено на стороні сервісу, тому клієнтам не потрібно встановлювати окремий патч. Водночас поява настільки критичного RCE у хмарному компоненті ще раз підкреслює необхідність регулярного аудиту зовнішніх інтеграцій та сервісів, які працюють поза прямим контролем організації.
CVE-2026-26110 та CVE-2026-26113: атаки через панель попереднього перегляду Office
Особливу увагу варто приділити RCE‑уразливостям в Microsoft Office CVE-2026-26110 та CVE-2026-26113. Їхня специфіка полягає в тому, що експлуатація можлива через панель попереднього перегляду документів — тобто користувачу інколи достатньо лише виділити файл у провіднику або переглянути вкладення в поштовому клієнті, не відкриваючи його повністю. Такий вектор ідеально підходить для фішингових кампаній і значно підвищує шанси успішної інфекції навіть при обережній поведінці користувачів.
Для організацій, які активно використовують Microsoft Office, встановлення останніх оновлень має критичний пріоритет. Як тимчасовий захід у середовищах з підвищеними вимогами до безпеки можна розглянути обмеження або відключення панелі попереднього перегляду.
Copilot, Excel та Azure MCP: нові вектори атак в епоху ШІ та хмари
CVE-2026-26144: XSS в Excel та неявна ексфільтрація через Copilot Agent
Уразливість CVE-2026-26144 (CVSS 7,5) — це помилка розкриття інформації в Microsoft Excel, пов’язана з Cross-Site Scripting (XSS). Microsoft попереджає, що зловмисник може змусити режим Copilot Agent надсилати дані через зовнішні мережеві запити. Фактично йдеться про zero-click сценарій: користувач не виконує явних дій, а витік конфіденційної інформації відбувається у фоновому режимі під виглядом легітимних звернень ШІ‑асистента.
З огляду на швидке впровадження Copilot у бізнес‑процеси, такі уразливості повинні обов’язково враховуватися в моделі загроз для організацій, що працюють із чутливими даними (фінансовими, медичними, R&D тощо). Ризики стосуються не лише самої програми Excel, а й усієї екосистеми інтегрованих ШІ‑сервісів.
CVE-2026-26118: SSRF в Azure Model Context Protocol (MCP) Server
Не менш показовою є уразливість CVE-2026-26118 (CVSS 8,8) типу Server-Side Request Forgery (SSRF) в Azure Model Context Protocol Server. SSRF‑атаки дають змогу змусити серверний компонент виконувати мережеві запити до довільних адрес. У даному випадку атакуючий може підмінити коректний ідентифікатор ресурсу Azure шкідливим URL, змушуючи MCP‑сервер звернутися до нього з використанням токена managed identity.
Такий токен відкриває доступ до всіх ресурсів, на які йому надано дозволи, що перетворює CVE-2026-26118 на потужний інструмент для горизонтального та вертикального переміщення в хмарній інфраструктурі. Організаціям, які активно використовують managed identity в Azure, варто якнайшвидше встановити оновлення, перевірити привілеї сервісних облікових записів і дотримуватися принципу мінімально необхідних прав.
Експлоїт для CVE-2026-21533 в RDP: ціна відкладених оновлень
На тлі березневих патчів значний резонанс викликали повідомлення про продаж в даркнеті робочого експлоїта для CVE-2026-21533, що вражає Windows Remote Desktop Services (RDP). Оціночна вартість у районі 220 000 доларів США свідчить про високу практичну цінність інструмента для кіберзлочинців. Уразливість дозволяє підвищити привілеї до рівня SYSTEM шляхом маніпуляції ключем реєстру, який визначає конфігурацію служби TermService.
Для експлуатації потрібен попередній низькопривілейований доступ, але в поєднанні з фішингом, вразливими веб‑службами чи компрометацією облікових записів це обмеження легко обходиться. Важливий нюанс: Microsoft усунула CVE-2026-21533 ще в лютому 2026 року. Отже, розробник експлоїта робить ставку на організації, які не впровадили попередні оновлення. Це яскраво демонструє, як затримки з установленням патчів перетворюють уже закриті уразливості на ефективний інструмент атак.
Березневий Patch Tuesday ще раз підтверджує: системне керування оновленнями — один із ключових факторів кіберстійкості. Організаціям варто в першу чергу встановити патчі для публічно розкритих 0-day, критичних RCE‑уразливостей в Office, багів у Azure MCP та обов’язково закрити RDP CVE-2026-21533, якщо лютневі оновлення досі не застосовані. До кращих практик належать використання централізованих систем управління патчами, регулярна інвентаризація активів, обмеження або сегментація доступу RDP, жорстке дотримання принципу найменших привілеїв і постійний моніторинг офіційних бюлетенів Microsoft. Компанії, які вибудовують такий процес, істотно зменшують імовірність успішних атак навіть в умовах постійної появи нових уразливостей.
