Связаться с нами
Ру
Русский English
Услуги О компании Pert Блог
Ру
Русский English
MS Patch Tuesday

Анализ обновлений Microsoft Patch Tuesday – Март 2026

Краткое Резюме

Во вторник, 10.03.2026, Microsoft выпустила ежемесячный патч безопасности, устраняющий 83 уязвимости в своих продуктах.

По уровню опасности:

  • Elevation of Privilege - 46;
  • Remote Code Execution - 17;
  • Spoofing - 4;
  • Information Disclosure - 10;
  • Security Feature Bypass - 2;
  • Denial of Service - 4.

Эксплуатируемые (Zero-Days) и Публично Раскрытые Уязвимости

Особое внимание следует уделить на следующие 2 уязвимост_. Их исправление является наивысшим приоритетом:

  • CVE-2026-21262 (CVSS 8.8; Elevation of Privilege) - SQL Server Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость связана с некорректным управлением доступом (CWE-284) в Microsoft SQL Server. Аутентифицированный злоумышленник с низким уровнем прав (PR:L) может по сети эксплуатировать данную брешь для повышения своих привилегий до уровня sysadmin. Проблема затрагивает различные версии продукта, включая SQL Server 2016–2025, и исправляется путем установки соответствующих кумулятивных обновлений (CU) или выпусков общего распространения (GDR).
  • CVE-2026-26127 (CVSS 7.5; Denial of Service) - .NET Denial of Service Vulnerability (Denial of Service).Уязвимость позволяет удаленному неавторизованному злоумышленнику вызвать отказ в обслуживании (DoS) через сеть без взаимодействия с пользователем. Проблема заключается в чтении за пределами границ памяти (CWE-125) при обработке специфических данных платформой .NET. Эксплуатация данной бреши приводит к аварийному завершению работы сетевых приложений или сервисов, использующих уязвимую версию среды выполнения.

Общий обзор и тенденции

Мартовский выпуск Patch Tuesday 2026 года демонстрирует некоторую стабилизацию после «шторма нулевых дней» в феврале. Microsoft исправила 83 уязвимости, что является средним показателем для текущего года. Несмотря на отсутствие (на момент публикации) активно эксплуатируемых брешей, месяц характеризуется высокой опасностью из-за публичных раскрытий и критических угроз для серверной инфраструктуры. Ключевые тенденции:

  • Риски публичного раскрытия (Public Disclosure): В этом месяце сразу две серьезные уязвимости — в SQL Server и .NET — были раскрыты публично до выхода исправлений. Это значительно сокращает время на развертывание патчей, так как технические подробности уже доступны злоумышленникам. Особенно критична CVE-2026-21262, позволяющая получить права sysadmin в SQL Server, что фактически означает полный захват управления базой данных.
  • Акцент на критическую серверную инфраструктуру: Март стал «месяцем серверов». Обновления затронули фундаментальные компоненты корпоративной сети: Active Directory (AD DS), SQL Server, SharePoint Server и System Center Operations Manager (SCOM). Повышение привилегий в Active Directory или SCOM открывает атакующим путь к полному доминированию в домене, что делает эти патчи приоритетными для крупных организаций.
  • Традиционное преобладание Elevation of Privilege (EoP): Более половины всех исправлений (46 из 83) направлены на устранение уязвимостей повышения привилегий. Это подтверждает долгосрочную стратегию Microsoft по защите ядра системы (Kernel), файловых систем (NTFS, ReFS, exFAT) и сетевых драйверов (AFD, SMB) от попыток захвата контроля после первоначального проникновения.
  • Стабильные угрозы от RCE: Уязвимости удаленного выполнения кода продолжают регулярно появляться в классических компонентах, таких как Print Spooler и RRAS. Возвращение проблем в службе печати напоминает о необходимости постоянного мониторинга этого исторически уязвимого компонента.
  • Облака и гибридные среды: Microsoft продолжает активно латать «дыры» в современных сервисах, исправляя уязвимости в Azure Connected Machine Agent, Hybrid Worker и Confidential Containers. Это критично для компаний, использующих гибридные облачные модели.

Полный Список Уязвимостей

Ниже представлена таблица со всеми уязвимостями, исправленными в этом месяце.

CVETitleTypeCVSSSeverityЭксплуатируетсяПублично Раскрыта
CVE-2026-21262SQL Server Elevation of Privilege VulnerabilityElevation of Privilege8.8Elevation of PrivilegeНетДа
CVE-2026-26127.NET Denial of Service VulnerabilityDenial of Service7.5Denial of ServiceНетДа
CVE-2026-21536Microsoft Devices Pricing Program Remote Code Execution VulnerabilityRemote Code Execution9.8Remote Code ExecutionНетНет
CVE-2026-20967System Center Operations Manager (SCOM) Elevation of Privilege VulnerabilityElevation of Privilege8.8Elevation of PrivilegeНетНет
CVE-2026-23654GitHub: Zero Shot SCFoundation Remote Code Execution VulnerabilityRemote Code Execution8.8Remote Code ExecutionНетНет
CVE-2026-23669Windows Print Spooler Remote Code Execution VulnerabilityRemote Code Execution8.8Remote Code ExecutionНетНет
CVE-2026-24283Multiple UNC Provider Kernel Driver Elevation of Privilege VulnerabilityElevation of Privilege8.8Elevation of PrivilegeНетНет
CVE-2026-25172Windows Routing and Remote Access Service (RRAS) Remote Code Execution VulnerabilityRemote Code Execution8.8Remote Code ExecutionНетНет
CVE-2026-25177Active Directory Domain Services Elevation of Privilege VulnerabilityElevation of Privilege8.8Elevation of PrivilegeНетНет
CVE-2026-25188Windows Telephony Service Elevation of Privilege VulnerabilityElevation of Privilege8.8Elevation of PrivilegeНетНет
CVE-2026-26106Microsoft SharePoint Server Remote Code Execution VulnerabilityRemote Code Execution8.8Remote Code ExecutionНетНет
CVE-2026-26111Windows Routing and Remote Access Service (RRAS) Remote Code Execution VulnerabilityRemote Code Execution8.8Remote Code ExecutionНетНет
CVE-2026-26114Microsoft SharePoint Server Remote Code Execution VulnerabilityRemote Code Execution8.8Remote Code ExecutionНетНет
CVE-2026-26115SQL Server Elevation of Privilege VulnerabilityElevation of Privilege8.8Elevation of PrivilegeНетНет
CVE-2026-26116SQL Server Elevation of Privilege VulnerabilityElevation of Privilege8.8Elevation of PrivilegeНетНет
CVE-2026-26118Azure MCP Server Tools Elevation of Privilege VulnerabilityElevation of Privilege8.8Elevation of PrivilegeНетНет
CVE-2026-26125Payment Orchestrator Service Elevation of Privilege VulnerabilityElevation of Privilege8.6Elevation of PrivilegeНетНет
CVE-2026-26109Microsoft Excel Remote Code Execution VulnerabilityRemote Code Execution8.4Remote Code ExecutionНетНет
CVE-2026-26110Microsoft Office Remote Code Execution VulnerabilityRemote Code Execution8.4Remote Code ExecutionНетНет
CVE-2026-26113Microsoft Office Remote Code Execution VulnerabilityRemote Code Execution8.4Remote Code ExecutionНетНет
CVE-2026-26105Microsoft SharePoint Server Spoofing VulnerabilitySpoofing8.1SpoofingНетНет
CVE-2026-26148Microsoft Azure AD SSH Login extension for Linux Elevation of Privilege VulnerabilityElevation of Privilege8.1Elevation of PrivilegeНетНет
CVE-2026-25173Windows Routing and Remote Access Service (RRAS) Remote Code Execution VulnerabilityRemote Code Execution8.0Remote Code ExecutionНетНет
CVE-2026-23660Windows Admin Center in Azure Portal Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-23665Linux Azure Diagnostic extension (LAD) Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-23672Windows Universal Disk Format File System Driver (UDFS) Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-23673Windows Resilient File System (ReFS) Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-24287Windows Kernel Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-24289Windows Kernel Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-24290Windows Projected File System Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-24291Windows Accessibility Infrastructure (ATBroker.exe) Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-24292Windows Connected Devices Platform Service Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-24293Windows Ancillary Function Driver for WinSock Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-24294Windows SMB Server Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-25165Performance Counters for Windows Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-25166Windows System Image Manager Assessment and Deployment Kit (ADK) Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2026-25174Windows Extensible File Allocation Table Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-25175Windows NTFS Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-25176Windows Ancillary Function Driver for WinSock Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-25187Winlogon Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-25189Windows DWM Core Library Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-25190GDI Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2026-26107Microsoft Excel Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2026-26108Microsoft Excel Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2026-26112Microsoft Excel Remote Code Execution VulnerabilityRemote Code Execution7.8Remote Code ExecutionНетНет
CVE-2026-26117Arc Enabled Servers - Azure Connected Machine Agent Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-26128Windows SMB Server Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-26131.NET Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-26132Windows Kernel Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-26134Microsoft Office Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-26141Hybrid Worker Extension (Arc‑enabled Windows VMs) Elevation of Privilege VulnerabilityElevation of Privilege7.8Elevation of PrivilegeНетНет
CVE-2026-23661Azure IoT Explorer Information Disclosure VulnerabilityInformation Disclosure7.5Information DisclosureНетНет
CVE-2026-23662Azure IoT Explorer Information Disclosure VulnerabilityInformation Disclosure7.5Information DisclosureНетНет
CVE-2026-23664Azure IoT Explorer Information Disclosure VulnerabilityInformation Disclosure7.5Information DisclosureНетНет
CVE-2026-23674MapUrlToZone Security Feature Bypass VulnerabilitySecurity Feature Bypass7.5Security Feature BypassНетНет
CVE-2026-25181GDI+ Information Disclosure VulnerabilityInformation Disclosure7.5Information DisclosureНетНет
CVE-2026-26121Azure IOT Explorer Spoofing VulnerabilitySpoofing7.5SpoofingНетНет
CVE-2026-26130ASP.NET Core Denial of Service VulnerabilityDenial of Service7.5Denial of ServiceНетНет
CVE-2026-26144Microsoft Excel Information Disclosure VulnerabilityInformation Disclosure7.5Information DisclosureНетНет
CVE-2026-25167Microsoft Brokering File System Elevation of Privilege VulnerabilityElevation of Privilege7.4Elevation of PrivilegeНетНет
CVE-2026-23667Broadcast DVR Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2026-23668Windows Graphics Component Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2026-23671Windows Bluetooth RFCOM Protocol Driver Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2026-24285Win32k Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2026-24295Windows Device Association Service Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2026-24296Windows Device Association Service Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2026-25170Windows Hyper-V Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2026-25171Windows Authentication Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2026-25178Windows Ancillary Function Driver for WinSock Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2026-25179Windows Ancillary Function Driver for WinSock Elevation of Privilege VulnerabilityElevation of Privilege7.0Elevation of PrivilegeНетНет
CVE-2026-24288Windows Mobile Broadband Driver Remote Code Execution VulnerabilityRemote Code Execution6.8Remote Code ExecutionНетНет
CVE-2026-23651Microsoft ACI Confidential Containers Elevation of Privilege VulnerabilityElevation of Privilege6.7Elevation of PrivilegeНетНет
CVE-2026-26124Microsoft ACI Confidential Containers Elevation of Privilege VulnerabilityElevation of Privilege6.7Elevation of PrivilegeНетНет
CVE-2026-24297Windows Kerberos Security Feature Bypass VulnerabilitySecurity Feature Bypass6.5Security Feature BypassНетНет
CVE-2026-26122Microsoft ACI Confidential Containers Information Disclosure VulnerabilityInformation Disclosure6.5Information DisclosureНетНет
CVE-2026-25168Windows Graphics Component Denial of Service VulnerabilityDenial of Service6.2Denial of ServiceНетНет
CVE-2026-25169Windows Graphics Component Denial of Service VulnerabilityDenial of Service6.2Denial of ServiceНетНет
CVE-2026-23656Windows App Installer Spoofing VulnerabilitySpoofing5.9SpoofingНетНет
CVE-2026-24282Push message Routing Service Elevation of Privilege VulnerabilityInformation Disclosure5.5Information DisclosureНетНет
CVE-2026-25180Windows Graphics Component Information Disclosure VulnerabilityInformation Disclosure5.5Information DisclosureНетНет
CVE-2026-25186Windows Accessibility Infrastructure (ATBroker.exe) Information Disclosure VulnerabilityInformation Disclosure5.5Information DisclosureНетНет
CVE-2026-26123Microsoft Authenticator Information Disclosure VulnerabilityInformation Disclosure5.5Information DisclosureНетНет
CVE-2026-25185Windows Shell Link Processing Spoofing VulnerabilitySpoofing5.3SpoofingНетНет

Ретроспективный анализ уязвимостей

  • CVE-2026-20817 — Windows Error Reporting Service Elevation of Privilege Vulnerability (Elevation of Privilege). Локальная уязвимость в службе Windows Error Reporting (WER), позволяющая атакующему повысить свои привилегии до максимума (уровень SYSTEM). Проблема кроется в недостаточной проверке прав доступа при обработке вызовов (метод SvcElevatedLaunch) через внутренний ALPC-порт \WindowsErrorReportingService. Злоумышленник с низкими привилегиями может отправить специально сформированное ALPC-сообщение, передав команду через разделяемую память, которая затем будет выполнена уязвимой службой от своего имени. Для данной уязвимости опубликован рабочий PoC на GitHub. Уязвимость была исправлена в январе 2026 года.
  • CVE-2026-20841 - Windows Notepad App Remote Code Execution Vulnerability (Remote Code Execution). Уязвимость внедрения команд (Command Injection) в приложении Блокнот (Notepad), возникающая из-за некорректной обработки специального контента и ссылок в Markdown-файлах. Злоумышленник с помощью социальной инженерии может заставить пользователя открыть специально созданный файл и кликнуть по вредоносной ссылке. Это приводит к запуску непроверенных протоколов и локальному выполнению произвольных системных команд (например, через cmd.exe или powershell.exe). Для данной уязвимости опубликован PoC. Уязвимость была исправлена в феврале 2026 года.
  • CVE-2026-21241 — Windows Ancillary Function Driver for WinSock Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость типа Use-After-Free (UAF) в драйвере afd.sys, связанная с некорректным управлением жизненным циклом пакетов завершения ввода-вывода (I/O mini-completion packets). Исследователь Souhail Hammou опубликовал технический разбор, в котором показано, как при использовании API ProcessSocketNotifications и возникновении race condition пакет может быть освобожден в памяти при закрытии сокета, оставаясь при этом в очереди порта завершения. Последующее обращение к этому пакету позволяет локальному злоумышленнику повысить свои привилегии до уровня SYSTEM. Уязвимость была исправлена в феврале 2026 года.
  • CVE-2026-21508 — Windows Storage Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость позволяет локальному пользователю повысить свои привилегии до уровня SYSTEM через манипуляцию компонентами Windows Storage. Эксплуатация основана на сочетании небезопасного пути поиска (DLL Hijacking в C:\ProgramData) и подмене COM-объекта в реестре пользователя (HKCU). Это заставляет привилегированный процесс WUDFHost.exe загрузить вредоносную DLL, которая с помощью вызова RevertToSelf() сбрасывает имперсонацию пользователя и возвращает поток в контекст безопасности SYSTEM. Для срабатывания триггера требуется наличие USB-накопителя и запуск Windows Media Player. На GitHub доступен PoC, подтверждающий возможность выполнения произвольного кода с максимальными правами. Уязвимость была исправлена в феврале 2026 года.

Вывод

Хотя мартовское обновление выглядит спокойнее февральского из-за отсутствия «нулевых дней», оно несет в себе серьезные риски для серверного сегмента. Публичное раскрытие способа захвата прав администратора в SQL Server делает этот месяц критическим для баз данных. Приоритет установки обновлений в марте:

  • Базы данных и среда выполнения: В первую очередь необходимо закрыть публично раскрытые CVE-2026-21262 (SQL Server) и CVE-2026-26127 (.NET), так как вероятность появления эксплойтов для них в ближайшие дни максимальна.
  • Контроллеры домена и управление: Обновите системы с Active Directory (CVE-2026-25177) и SCOM, чтобы предотвратить возможность захвата всей ИТ-инфраструктуры.
  • Корпоративные порталы: Серверы SharePoint снова получили серию RCE-исправлений, что требует их оперативного обновления для защиты от кражи данных.
  • Рабочие станции: Не забывайте про пакеты Office и Excel, которые остаются основным вектором первичного заражения через фишинг. Рекомендуется также обратить внимание на раздел «Ретроспективный анализ уязвимостей». Появление рабочих PoC-эксплойтов для февральских уязвимостей в Блокноте (Notepad) и драйвере AFD означает, что даже если вы защитились от «нулевых дней» в прошлом месяце, теперь эти методы стали доступны массовым злоумышленникам. Своевременное закрытие «хвостов» за прошлые периоды остается залогом безопасности.
Paranoid Security Анализ обновлений Microsoft Patch Tuesday – Февраль 2026 10 февраля
MS Patch Tuesday Анализ обновлений Microsoft Patch Tuesday – Февраль 2026
Paranoid Security Как злоумышленники используют подписанные драйверы для захвата инфраструктуры. Использование BYOVD для обхода механизмов защиты PPL в OS Windows. 5 февраля
Vulnerability Research Как злоумышленники используют подписанные драйверы для захвата инфраструктуры. Использование BYOVD для обхода механизмов защиты PPL в OS Windows.
Paranoid Security Анализ обновлений Microsoft Patch Tuesday – Январь 2026 13 января
MS Patch Tuesday Анализ обновлений Microsoft Patch Tuesday – Январь 2026