Microsoft va publicar el seu Patch Tuesday de març de 2026 el dia 10 amb correccions per a 79 vulnerabilitats. Tenable en compta 83 CVE si s’hi sumen els avisos de productes adjacents com Edge o alguns components d’Azure. El repartiment per tipus deixa clar on hi ha el gruix de la feina aquest mes: 46 errors d’elevació de privilegis, 18 d’execució remota de codi, 10 de divulgació d’informació, 4 de denegació de servei, 4 de suplantació (spoofing) i 2 d’omissió de funcions de seguretat.
Els dos zero-days
Tots dos zero-days es van divulgar públicament abans que hi hagués pedaç, però cap no constava com a explotat activament en el moment de l’actualització.
El primer és CVE-2026-21262, una elevació de privilegis a SQL Server. Neix d’un control d’accés indegut que permet a un atacant autenticat escalar per xarxa fins a privilegis de SQLAdmin (sysadmin) sobre la base de dades. Erland Sommarskog el va treure a la llum a partir del seu article “Packaging Permissions in Stored Procedures”. Té un CVSS de 8.8.
El segon és CVE-2026-26127, una denegació de servei a .NET. Una lectura fora de límits permet a un atacant no autenticat tombar el servei per xarxa. El CVSS és 7.5 i Microsoft l’etiqueta com de baixa probabilitat d’explotació, però afecta .NET 9.0 i 10.0 a Windows, macOS i Linux, així que cal actualitzar el runtime allà on s’executi, no només a Windows.
El que és crític: Office i Excel
Entre els errors marcats com a crítics, els més preocupants per a un lloc de treball normal són dos RCE a Microsoft Office, CVE-2026-26110 i CVE-2026-26113 (CVSS 8.4 cadascun). Són explotables a través del panell de previsualització, cosa que vol dir que el codi pot executar-se sense que l’usuari arribi a obrir el fitxer. N’hi ha prou que el document maliciós quedi seleccionat a l’explorador o al client de correu. Microsoft els classifica com a “explotació menys probable”, però el vector de previsualització els fa prioritaris.
També entra a la llista CVE-2026-26144, un error de divulgació d’informació a Excel basat en un XSS que es pot encadenar amb el Copilot Agent per exfiltrar dades sense interacció de l’usuari. És un exemple primerenc del que passa quan es barregen agents d’IA amb errors clàssics d’aplicacions ofimàtiques: l’agent es converteix en el canal de sortida de la fuita.
La resta de crítics toca infraestructura d’Azure (Azure Compute Gallery, Payment Orchestrator) i components com Compress::Raw::Zlib a Azure Linux/Mariner, menys rellevants per a un equip d’escriptori però importants si gestiones càrregues al núvol de Microsoft.
Què cal fer
Si administres Windows, aplica el cicle complet com més aviat millor i dona prioritat als equips amb Office i a qualsevol servidor SQL exposat. Per a les màquines amb .NET, recorda que el pedaç no arriba només per Windows Update: actualitza el runtime a macOS i Linux per separat. Comprova també que Excel i la resta de la suite Office siguin a l’última build, perquè el vector de previsualització no depèn que l’usuari obri res.