Sono due le vulnerabilità zero-day corrette da Microsoft con il Patch Tuesday del mese di marzo 2026. Attenzione anche a una falla critica e ad altre tre che riguardano il kernel di Windows.
Autore: Redazione SecurityOpenLab
Microsoft ha pubblicato gli aggiornamenti di sicurezza mensili che chiudono 79 vulnerabilità, incluse 2 zero-day pubbliche e tre considerate critiche. Complessivamente, il numero maggiore di falle porta all’escalation di privilegi (46), seguite da 18 bug RCE e 10 di divulgazione di informazioni.
Come sempre, diamo risalto alle vulnerabilità di maggiore criticità. Il primo gruppo è costituito da tre falle, tutte a carico di SQL Server, che sono tracciate con le sigle CVE-2026-21262, CVE-2026-26115 e CVE-2026-26116. A tutte è associato un punteggio CVSS di 8.8 e se sfruttate correttamente portano ad ottenere privilegi di sysadmin SQL. Singolarmente, lo sfruttamento di ciascuna delle tre vulnerabilità in questione è stato valutato come poco probabile, però la CVE-2026-21262 è pubblicata come zero-day.
La seconda vulnerabilità zero-day è quella monitorata con la sigla CVE-2026-26127, relativa alla negazione di servizio (Denial of Service, DoS) in .NET 9.0 e 10.0 su Windows, Mac OS e Linux. Il punteggio CVSS è di 7.5 e l’attenzione è dovuta al fatto che la falla è stata resa pubblica prima che fossero disponibili le patch. Microsoft valuta che lo sfruttamento di questo bug sia improbabile.
Microsoft ha anche corretto due bug di esecuzione remota del codice, monitorate con le sigle CVE-2026-26110 e CVE-2026-26113. Entrambi sono relativi a Microsoft Office, possono essere sfruttate tramite il pannello di anteprima e hanno un punteggio CVSS di 8.4. Un attaccante locale non autenticato potrebbe sfruttare queste vulnerabilità per eseguire del codice. Di particolare interesse è anche la falla di divulgazione delle informazioni relativa a Microsoft Excel (CVE-2026-26144), che potrebbe essere utilizzata per esfiltrare dati tramite Microsoft Copilot.
Vale la pena prestare attenzione anche alle falle CVE-2026-24287, CVE-2026-24289 e CVE-2026-26132 che riguardano il kernel di Windows e sono di tipo EoP. A ciascuna è assegnato un punteggio CVSS di 7.8. Un attaccante locale autenticato potrebbe sfruttare queste vulnerabilità per ottenere privilegi di SISTEMA. Microsoft ha valutato la CVE-2026-24289 e la CVE-2026-26132 come a probabile sfruttamento. Includendo questi tre bug, nel 2026 Microsoft ha finora pubblicato e corretto sei EoP relative al kernel di Windows.