Patch Tuesday Mars 2026 : Microsoft corrige 79 failles dont 2 zero-days et des RCE Office critiques

Patch Tuesday Mars 2026 : Vue d’ensemble

Microsoft a publié son Patch Tuesday de mars 2026 le 10 mars 2026, corrigeant 79 vulnérabilités de sécurité dans Windows, Office, Azure et des produits associés. La mise à jour comprend 2 zero-days publiquement divulgués, 3 failles de niveau Critique (2 exécutions de code à distance, 1 divulgation d’informations) et des dizaines de problèmes de niveau Important. Aucun des zero-days n’est confirmé comme exploité activement dans la nature au moment de la publication.

Microsoft poursuit également le déploiement de certificats Secure Boot mis à jour avant l’expiration en juin 2026 des certificats originaux de 2011 — ce qui rend ce cycle particulièrement important pour les organisations gérant l’intégrité des endpoints.

Deux zero-days publiquement divulgués

Ce Patch Tuesday corrige deux vulnérabilités zero-day qui ont été divulguées publiquement avant la disponibilité des correctifs :

• CVE-2026-21262 — Vulnérabilité d’élévation de privilèges SQL Server. Divulguée publiquement avant ce cycle de correctifs. Permet à un attaquant d’obtenir des privilèges élevés sur les instances SQL Server affectées.
• Faille DoS dans .NET — Une lecture hors limites dans .NET permet à un attaquant non authentifié de provoquer un déni de service sur le réseau. Attribuée à un chercheur anonyme et divulguée avant le correctif.

Microsoft définit un zero-day comme toute vulnérabilité publiquement divulguée ou exploitée activement avant la disponibilité d’un correctif officiel. Aucun des zero-days de ce mois ne présente d’exploitation confirmée dans la nature au 10 mars.

RCE Office critiques exploitables via le volet de prévisualisation

Deux vulnérabilités d’exécution de code à distance Critiques dans Microsoft Office sont à traiter en priorité ce mois-ci :

• CVE-2026-26110 — Exécution de code à distance Microsoft Office. Peut être déclenchée via le volet de prévisualisation, ce qui signifie qu’aucune interaction utilisateur au-delà de l’ouverture d’un dossier n’est requise.
• CVE-2026-26113 — Exécution de code à distance Microsoft Office. Également exploitable via le volet de prévisualisation, rendant ces deux failles particulièrement dangereuses dans les environnements d’entreprise où les aperçus de documents sont courants.

Les équipes sécurité doivent corriger les installations Office immédiatement, car l’exploitation via le volet de prévisualisation abaisse considérablement la barrière d’attaque — les victimes n’ont pas besoin d’ouvrir ou d’exécuter un fichier pour que l’exploit se déclenche.

Faille Excel et Microsoft Copilot : exfiltration de données sans clic (CVE-2026-26144)

Une vulnérabilité notable de divulgation d’informations, CVE-2026-26144, affecte Microsoft Excel en conjonction avec le mode Agent de Microsoft Copilot. Selon l’avis de Microsoft, un attaquant qui exploite cette vulnérabilité peut amener le mode Agent Copilot à exfiltrer des données via une sortie réseau non intentionnelle — permettant une attaque d’exfiltration de données sans clic.

Cela est particulièrement préoccupant pour les environnements d’entreprise utilisant Microsoft 365 Copilot avec des sources de données connectées, car des documents sensibles ou des données métier pourraient être exfiltrés sans action de l’utilisateur une fois qu’un attaquant a créé un fichier malveillant qui atteint le système cible.

Contexte : après les six zero-days exploités de février 2026

La publication de mars arrive dans le sillage du Patch Tuesday alarmant de février 2026, qui avait corrigé 59 vulnérabilités dont six zero-days exploités activement — l’une des publications Patch Tuesday les plus critiques de l’histoire récente. Parmi celles-ci figuraient des failles dans MSHTML (CVE-2026-21513, CVSS 8.8, lié au groupe APT28 russe), Microsoft Word, Desktop Window Manager, Windows Shell et Remote Desktop Services.

CVE-2026-21513 lié à APT28 — corrigé en février — impliquait un fichier de raccourci Windows (LNK) spécialement conçu intégrant une charge utile HTML, exploitant des iframes imbriqués pour manipuler les limites de confiance et contourner les protections Mark of the Web (MotW). L’attaque exploitait l’infrastructure sur wellnesscaremed[.]com attribuée à APT28 pour livrer des charges utiles multi-étapes ciblant des réseaux gouvernementaux et d’entreprise.

Détails par sévérité et catégorie

Les 79 CVE corrigés en mars 2026 se répartissent comme suit :

• Critique : 3 (2 RCE, 1 divulgation d’informations)
• Important : 76 (dont EoP, DoS, usurpation et RCE supplémentaires)
• Zero-days (publiquement divulgués) : 2 (CVE-2026-21262, DoS .NET)
• Produits affectés : Windows, Microsoft Office, Excel, Azure IoT Explorer, Azure Linux VMs, Azure MCP Server, Windows Admin Center, Windows SMB Server, Windows Shell Link Processing

Ce que les équipes sécurité doivent faire maintenant

Face aux RCE exploitables via le volet de prévisualisation et à la faille d’exfiltration Copilot, les équipes sécurité doivent traiter ce cycle comme prioritaire :

• Corriger Microsoft Office immédiatement — CVE-2026-26110 et CVE-2026-26113 sont exploitables sans exécution de fichier par l’utilisateur
• Mettre à jour Microsoft Excel / Microsoft 365 pour adresser le risque d’exfiltration via Copilot (CVE-2026-26144)
• Appliquer les correctifs SQL Server pour remédier à CVE-2026-21262
• Déployer via Windows Update ou WSUS — Microsoft recommande une installation immédiate pour toutes les versions supportées
• Vérifier les mises à jour des certificats Secure Boot — de nouveaux certificats 2023 sont déployés avant l’expiration en juin 2026 des certificats originaux de 2011