Microsoft Patch Tuesday: 77 luk w zabezpieczeniach Windows – co warto wiedzieć

Firma Microsoft wydała w tym miesiącu kolejne łatki bezpieczeństwa w ramach Patch Tuesday. Aktualizacje naprawiają łącznie 77 luk w zabezpieczeniach obecnych w systemach Windows oraz innych produktach. W przeciwieństwie do lutego, tym razem nie wykryto żadnych krytycznych błędów typu zero-day, jednak niektóre poprawki wymagają szybszej instalacji, zwłaszcza w środowiskach korporacyjnych.

Główne luki i ich zagrożenia

Dwa z naprawionych błędów zostały wcześniej ujawnione publicznie. CVE-2026-21262 to luka w zabezpieczeniach SQL Server 2016 i nowszych, pozwalająca atakującemu podnieść swoje uprawnienia do poziomu administratora systemu (sysadmin) poprzez sieć. Według eksperta z Rapid7, Adama Barnetta, choć błąd nie osiąga poziomu krytycznego (CVSS 8.8), jego zaniedbanie mogłoby być poważnym błędem. „To nie jest zwykła luka uprawnień – atakujący z odpowiednimi uprawnieniami może uzyskać pełną kontrolę nad serwerem SQL przez sieć”, podkreśla Barnett.

Drugim publicznie znanym błędem jest CVE-2026-26127, luka w aplikacjach działających na platformie .NET. Jej wykorzystanie może doprowadzić do ataku typu denial of service (DoS) poprzez awarię aplikacji, a w niektórych przypadkach – do innych form ataków podczas ponownego uruchamiania usługi.

Krytyczne luki w Microsoft Office

Wśród poprawek znalazły się także dwa krytyczne błędy zdalnego wykonania kodu (RCE) w pakiecie Office: CVE-2026-26113 oraz CVE-2026-26110. Atakujący może je wykorzystać, wysyłając spreparowaną wiadomość, która po otwarciu w okienku podglądu (Preview Pane) uruchamia złośliwy kod. Satnam Narang z Tenable zauważa, że ponad połowa (55%) wszystkich poprawek z marca dotyczy błędów związanych z podnoszeniem uprawnień, a sześć z nich zostało uznanych za „wysoce prawdopodobne do wykorzystania”.

Najpoważniejsze luki uprawnień

Wśród krytycznych poprawek znalazły się między innymi:

• CVE-2026-24291 – nieprawidłowe przypisanie uprawnień w infrastrukturze dostępności Windows, umożliwiające osiągnięcie uprawnień SYSTEM (CVSS 7.8);
• CVE-2026-24294 – błąd uwierzytelniania w podstawowym komponencie SMB (CVSS 7.8);
• CVE-2026-24289 – krytyczna luka związana z korupcją pamięci i warunkami wyścigu (CVSS 7.8);
• CVE-2026-25187 – słabość w procesie Winlogon, odkryta przez zespół Google Project Zero (CVSS 7.8).

AI odkrywa krytyczne luki – nowa era w cyberbezpieczeństwie

Ekspert ds. cyberbezpieczeństwa Ben McCarthy zwrócił uwagę na CVE-2026-21536 – krytyczną lukę zdalnego wykonania kodu w komponencie Microsoft Devices Pricing Program. Choć Microsoft już ją załatał, a użytkownicy Windows nie muszą podejmować żadnych działań, błąd ten jest wyjątkowy. Został odkryty przez XBOW, w pełni autonomicznego agenta do testów penetracyjnych, który regularnie plasuje się w czołówce Hacker One Bug Bounty Leaderboard.

McCarthy podkreśla, że odkrycie to pokazuje, w jaki sposób sztuczna inteligencja może identyfikować krytyczne luki (o wartości CVSS 9.8) nawet bez dostępu do kodu źródłowego. „Choć Microsoft już załatał tę lukę, to odkrycie wskazuje na rosnącą rolę AI w wykrywaniu złożonych podatności w coraz szybszym tempie”, mówi ekspert. To zapowiedź nowej ery w badaniach nad bezpieczeństwem IT.

Podsumowanie i zalecenia

Choć marcowe łatki nie zawierają krytycznych błędów zero-day, niektóre z nich stanowią poważne zagrożenie i powinny zostać zainstalowane jak najszybciej. Szczególną uwagę należy zwrócić na:

• luki w SQL Server (CVE-2026-21262);
• błędy w .NET (CVE-2026-26127);
• krytyczne luki w Microsoft Office (CVE-2026-26113, CVE-2026-26110);
• podnoszenie uprawnień w Windows (CVE-2026-24291, CVE-2026-24294, CVE-2026-24289, CVE-2026-25187).

Administratorzy systemów powinni priorytetowo traktować instalację tych poprawek, aby zminimalizować ryzyko ataków.