Microsoft corrige 77 failles de sécurité dans ses produits : focus sur les vulnérabilités critiques

Microsoft publie 77 correctifs de sécurité pour mars 2026

Microsoft a déployé aujourd'hui ses mises à jour mensuelles de sécurité pour corriger 77 vulnérabilités affectant Windows et d'autres logiciels de l'éditeur. Contrairement au mois dernier, aucune faille zero-day n'est exploitée activement, mais certaines failles méritent une attention prioritaire.

Deux vulnérabilités déjà divulguées publiquement

Parmi les correctifs, deux failles avaient déjà été rendues publiques avant leur publication officielle :

• CVE-2026-21262 : Une élévation de privilèges dans SQL Server 2016 et versions ultérieures. Un attaquant autorisé peut obtenir les droits sysadmin à distance. Avec un score CVSS de 8,8, cette faille est proche du niveau critique.

  « Ce n'est pas une simple vulnérabilité d'élévation de privilèges. Un attaquant peut obtenir des droits sysadmin sur un réseau. »
  — Adam Barnett, Rapid7

• CVE-2026-26127 : Une faille dans les applications .NET pouvant entraîner un déni de service par crash. D'autres attaques pourraient survenir lors du redémarrage du service.

Deux failles critiques dans Microsoft Office

Comme à chaque Patch Tuesday, Microsoft corrige des vulnérabilités critiques dans Office. Cette fois, deux failles d'exécution de code à distance (CVE-2026-26113 et CVE-2026-26110) permettent d'exécuter du code malveillant simplement en affichant un message piégé dans le volet de prévisualisation.

Plus de la moitié des failles concernent des élévations de privilèges

Selon Satnam Narang de Tenable, 55 % des vulnérabilités corrigées ce mois-ci sont des failles d'élévation de privilèges. Parmi elles, six ont été classées comme « exploitation probable » :

• CVE-2026-24291 : Mauvaise assignation de permissions dans l'infrastructure d'accessibilité Windows (CVSS 7,8)
• CVE-2026-24294 : Authentification incorrecte dans le composant SMB (CVSS 7,8)
• CVE-2026-24289 : Corruption mémoire et condition de course critique (CVSS 7,8)
• CVE-2026-25187 : Faiblesse dans le processus Winlogon, découverte par Google Project Zero (CVSS 7,8)

Une vulnérabilité critique découverte par une IA

Ben McCarthy, ingénieur en cybersécurité chez Immersive, attire l'attention sur CVE-2026-21536, une faille critique d'exécution de code à distance dans le Microsoft Devices Pricing Program. Microsoft a déjà corrigé cette faille, mais elle est notable car elle a été identifiée par un agent IA autonome.

« Bien que Microsoft ait déjà corrigé cette vulnérabilité, elle illustre comment les agents IA peuvent détecter des failles critiques (note 9,8 CVSS) sans accès au code source. »
— Ben McCarthy, Immersive

Cette faille a été découverte par XBOW, un agent d'audit de sécurité autonome classé parmi les meilleurs sur la plateforme HackerOne. Elle marque un tournant dans la détection automatisée des vulnérabilités.

Les administrateurs système sont invités à appliquer ces correctifs dans les plus brefs délais pour limiter les risques d'exploitation.