Windows, Office et plusieurs services Microsoft reçoivent leur lot de correctifs pour le mois de mars. Cette fournée inclut notamment deux failles déjà connues, ainsi qu’une longue série de vulnérabilités touchant des composants clés du système.
C’est jour de Patch Tuesday chez Microsoft. L’éditeur déploie sa mise à jour de sécurité mensuelle pour Windows 11, Office et plusieurs services associés, destinée à corriger un total respectable de 83 vulnérabilités. Dans le lot figurent deux failles zero-day déjà rendues publiques avant la diffusion du patch. Aucune exploitation active n’est connue pour le moment, mais leur divulgation préalable doit vous inciter à faire un tour dans Windows Update sans tarder.
Des failles prioritaires dans SQL Server, .NET et Microsoft Office
Dans le détail, la première vulnérabilité zero-day concerne SQL Server. Identifiée sous la référence CVE-2026-21262 (CVSS 8,8), cette faille permet à un attaquant déjà authentifié d’élever ses privilèges sur un serveur SQL accessible via le réseau. Le problème provient d’un contrôle d’accès insuffisant dans certaines procédures stockées, des blocs de requêtes SQL enregistrés directement dans la base de données afin d’automatiser certaines opérations. Dans certaines configurations, ces procédures peuvent s’exécuter avec des droits plus élevés que ceux de l’utilisateur qui les appelle. Un tel détournement pourrait permettre d’obtenir des privilèges SQLAdmin, l’un des niveaux d’administration les plus élevés dans SQL Server.
La seconde touche la plateforme .NET. Répertoriée sous CVE-2026-26127 (CVSS 7,5), cette vulnérabilité peut être exploitée pour provoquer un déni de service à distance. Elle repose sur une lecture hors limites dans le traitement de certaines données, une erreur qui survient lorsqu’un programme tente d’accéder à une zone de mémoire en dehors de celle qui lui est normalement attribuée. Dans ce cas précis, un attaquant, non authentifié cette fois, pourrait envoyer une requête spécialement conçue à une application .NET exposée sur le réseau afin d’en provoquer le plantage et d’interrompre son fonctionnement.
Parmi les autres correctifs jugés prioritaires, Redmond s’attaque aussi à plusieurs vulnérabilités dans Microsoft Office. Deux failles d’exécution de code à distance, CVE-2026-26110 et CVE-2026-26113 (CVSS 8,4), peuvent être exploitées via le volet de prévisualisation. L’ouverture complète du document n’est donc pas nécessaire, l’affichage dans l’aperçu pouvant suffire à déclencher l’attaque.
En parallèle, Excel fait aussi l’objet d’un patch ciblé pour la vulnérabilité CVE-2026-26144 (CVSS 7,5), qui pourrait permettre à un tiers malveillant de provoquer une fuite de données en exploitant des interactions avec le mode agent de Copilot, susceptible dans certains cas d’envoyer des informations vers l’extérieur sans action directe de l’utilisateur.
Un Patch Tuesday bien garni pour Windows
Au total, le Patch Tuesday de mars corrige 83 vulnérabilités dans l’écosystème Microsoft. Comme souvent, la catégorie la plus représentée concerne les élévations de privilèges, auxquelles s'ajoutent plusieurs failles d’exécution de code à distance, de divulgation d’informations, de déni de service, d’usurpation d’identité ou encore de contournement de protections de sécurité.
La majorité d’entre elles affectent des composants essentiels de Windows, régulièrement concernés par ce type de vulnérabilités, parmi lesquels SMB Server, Win32k, RRAS ou encore Print Spooler, ainsi que plusieurs pilotes et services système. Plusieurs failles touchent également des services liés à Azure et à l’infrastructure cloud de Microsoft.
Bref, un Patch Tuesday plutôt copieux, qui devrait convaincre les plus procrastinateurs de faire un détour par Windows Update.
Source : Microsoft
Une faille « zero-day » désigne une vulnérabilité rendue publique ou activement exploitée alors qu’aucun correctif n’est encore disponible (ou vient à peine de l’être). Même sans preuve d’exploitation « dans la nature », cette divulgation donne aux attaquants des informations utiles pour tenter de reproduire l’attaque. Le risque grimpe donc rapidement dès que la vulnérabilité est documentée, car des codes d’exploitation peuvent circuler. Dans ce contexte, appliquer le correctif réduit la fenêtre d’exposition, surtout sur les services accessibles depuis le réseau. Le terme ne signifie pas automatiquement “attaque en cours”, mais indique une course contre la montre défavorable aux systèmes non patchés.
Comment une procédure stockée mal sécurisée dans SQL Server peut mener à une élévation de privilèges (jusqu’à SQLAdmin) ?Une procédure stockée est du code SQL enregistré dans la base, conçu pour exécuter des opérations de manière standardisée. Si le contrôle d’accès est insuffisant, la procédure peut s’exécuter avec des droits supérieurs à ceux de l’utilisateur qui l’appelle (par exemple via un contexte d’exécution trop permissif). Un attaquant déjà authentifié peut alors détourner cette mécanique pour réaliser des actions normalement réservées à des rôles d’administration. C’est typiquement une élévation de privilèges : on ne « casse » pas l’authentification, on exploite un mauvais cloisonnement des permissions. Atteindre un niveau comme SQLAdmin ouvre ensuite l’accès à des opérations critiques (gestion des comptes, lecture/altération de données, configuration serveur).
Que signifie une « lecture hors limites » dans .NET et pourquoi cela peut déclencher un déni de service à distance ?Une lecture hors limites survient quand un programme tente d’accéder à une zone mémoire en dehors du tampon ou de la structure prévue. Dans les environnements managés comme .NET, cela se traduit souvent par une exception ou un comportement anormal lors du traitement de données malformées, plutôt que par une prise de contrôle directe. Un attaquant peut exploiter ce type de bug en envoyant des requêtes spécialement construites à une application exposée sur le réseau. Si l’application ne gère pas correctement l’erreur, elle peut planter ou se mettre en défaut, ce qui interrompt le service pour les utilisateurs légitimes. C’est la définition d’un déni de service (DoS) : rendre un service indisponible sans forcément accéder aux données.
