Microsoft Patch Tuesday maart 2026: 77 kwetsbaarheden verholpen, waaronder kritieke fouten

Microsoft corrigeert 77 kwetsbaarheden in Patch Tuesday van maart 2026

Microsoft heeft vandaag een reeks beveiligingsupdates uitgebracht om ten minste 77 kwetsbaarheden in Windows en andere software te verhelpen. Hoewel er deze maand geen urgente zero-day-exploits zijn gemeld (in tegenstelling tot februari, toen er vijf werden ontdekt), blijven sommige patches prioriteit hebben voor organisaties die Windows gebruiken.

Twee eerder openbaar gemaakte kwetsbaarheden

Twee van de verholpen fouten waren al eerder openbaar gemaakt. CVE-2026-21262 is een privilege-escalatie-lek in SQL Server 2016 en nieuwere versies. Volgens Adam Barnett van Rapid7 kan een geautoriseerde aanvaller via een netwerk zijn rechten verhogen tot systeembeheerder. De CVSS-score van 8,8 wijst op een hoog risico, ondanks de vereiste lage privileges. Barnett waarschuwt: "Het zou roekeloos zijn om deze patch uit te stellen."

De tweede openbaar gemaakte fout is CVE-2026-26127, een kwetsbaarheid in .NET-toepassingen. Exploitatie kan leiden tot een denial-of-service-aanval door een crash te veroorzaken, met mogelijk verdere risico's tijdens een herstart van de service.

Kritieke fouten in Microsoft Office

Deze Patch Tuesday bevat ook twee kritieke remote code execution (RCE)-lekken in Microsoft Office: CVE-2026-26113 en CVE-2026-26110. Deze kunnen worden geactiveerd door een kwaadaardige boodschap te openen in het voorbeeldvenster. Satnam Narang van Tenable benadrukt dat meer dan de helft (55%) van de patches deze maand gaat over privilege-escalatie, waarvan zes zijn gemarkeerd als "waarschijnlijke exploitatie".

Belangrijke privilege-escalatie-lekken

Onder de privilege-escalatie-kwetsbaarheden met een hoge waarschijnlijkheid van exploitatie vallen:

• CVE-2026-24291: Onjuiste permissie-instellingen in de Windows Accessibility Infrastructure, waardoor SYSTEM-rechten kunnen worden verkregen (CVSS 7,8).
• CVE-2026-24294: Onjuiste authenticatie in de kern van het SMB-protocol (CVSS 7,8).
• CVE-2026-24289: Hoogrisico geheugenvervuiling en race condition-lek (CVSS 7,8).
• CVE-2026-25187: Zwakte in de Winlogon-processen, ontdekt door Google Project Zero (CVSS 7,8).

AI ontdekt kritieke kwetsbaarheid met CVSS-score 9,8

Ben McCarthy, hoofd cybersecurity bij Immersive, wijst op CVE-2026-21536, een kritieke RCE-kwetsbaarheid in de Microsoft Devices Pricing Program-component. Microsoft heeft de fout al verholpen, maar McCarthy benadrukt dat dit een mijlpaal is: het is een van de eerste kwetsbaarheden die volledig door een AI-agent zijn ontdekt en officieel geregistreerd als CVE.

De fout werd ontdekt door XBOW, een volledig autonome AI-penetratietestagent die al een jaar lang hoog scoort op de Hacker One-bugbounty-leaderboard. McCarthy: "Hoewel Microsoft de kwetsbaarheid al heeft gepatcht, toont dit aan hoe AI-gestuurde tools complexe kwetsbaarheden met een CVSS-score van 9,8 kunnen identificeren zonder toegang tot de broncode. Dit markeert een verschuiving naar AI-ondersteund beveiligingsonderzoek."

Advies voor organisaties

Microsoft raadt organisaties aan om de updates zo snel mogelijk te installeren, met name voor de kritieke en hoogrisico-kwetsbaarheden. De patches zijn beschikbaar via Windows Update en de Microsoft Update Catalog.