مایکروسافت ۷۹ ضعف امنیتی را بروزرسانی کرد

مایکروسافت در Patch Tuesday مارس ۲۰۲۶ مجموعه‌ای از وصله‌های امنیتی برای ۷۹ آسیب‌پذیری منتشر کرد که شامل ۳ ضعف «Critical» و ۲ زیرو‌دی «publicly disclosed» است. دو زیرو‌دی اصلی این ماه، CVE-2026-21262 در SQL Server و CVE-2026-26127 در .NET هستند؛ هر دو پیش از انتشار وصله عمومی شده بودند اما مایکروسافت تا زمان انتشار این بسته، شواهدی از بهره‌برداری عملی آن‌ها در حملات واقعی اعلام نکرده است. در همین بسته، دو نقص اجرای کد از راه دور در Microsoft Office با قابلیت سوءاستفاده از طریق Preview Pane و یک ضعف افشای اطلاعات در Excel با سناریوی نشت داده از طریق Copilot نیز اصلاح شده‌اند.

مایکروسافت در تاریخ ۱۰ مارس ۲۰۲۶ بسته امنیتی ماهانه Patch Tuesday را منتشر کرد. بر اساس جمع‌بندی BleepingComputer و Cisco Talos، این نوبت از به‌روزرسانی‌ها ۷۹ آسیب‌پذیری را پوشش می‌دهد که ۳ مورد از آن‌ها با درجه اهمیت «Critical» و بقیه عمدتاً «Important» ارزیابی شده‌اند. این شمارش فقط نقص‌هایی را دربر می‌گیرد که همان روز توسط مایکروسافت منتشر شده‌اند و به همین دلیل، برخی وصله‌های Edge، Azure، Mariner و چند مؤلفه دیگر که پیش‌تر در همان ماه اصلاح شده بودند، در این عدد لحاظ نشده‌اند.

نـکته مهم این ماه، حضور دو زیرو‌دی افشاشده عمومی است؛ یعنی دو نقصی که پیش از ارائه وصله رسمی، اطلاعات آن‌ها علنی شده بود. با این حال، برخلاف برخی Patch Tuesdayهای پرتنش ماه‌های گذشته، مایکروسافت برای این دو مورد تا زمان انتشار وصله، بهره‌برداری فعال در حملات واقعی را تأیید نکرده است. Rapid7 نیز همین وضعیت را ثبت کرده و نوشته است که در این نوبت، هیچ‌یک از آسیب‌پذیری‌های روز وصله در KEV به‌عنوان مورد بهره‌برداری‌شده جدید مایکروسافت اضافه نشده‌اند.

اولین زیرو‌دی این ماه CVE-2026-21262 است؛ یک نقص Elevation of Privilege در SQL Server که به گفته مایکروسافت، به مهاجم مجاز اجازه می‌دهد از طریق شبکه سطح دسترسی خود را افزایش دهد. تحلیل‌های Rapid7، Fortra و Tenable نشان می‌دهد این آسیب‌پذیری به‌طور خاص می‌تواند به دسترسی در سطح SQLAdmin/sysadmin منجر شود و به همین دلیل، برای محیط‌های پایگاه داده سازمانی اهمیت بالایی دارد. این ضعف «publicly disclosed» بوده، اما مایکروسافت آن را از نظر بهره‌برداری «Less Likely» ارزیابی کرده است.

دومین زیرو‌دی، CVE-2026-26127 در .NET است؛ یک نقص Denial of Service ناشی از out-of-bounds read که به مهاجم غیرمجاز اجازه می‌دهد از طریق شبکه سرویس را از کار بیندازد. CrowdStrike و Tenable این نقص را در چارچوب .NET و با امتیاز حدود ۷.۵ توصیف کرده‌اند و تأکید دارند که هرچند جزئیات آن پیش‌تر افشا شده، اما تا زمان وصله، شواهدی از بهره‌برداری واقعی منتشر نشده بود. این ویژگی باعث می‌شود خطر فوری آن از جنس «افزایش انگیزه برای ساخت اکسپلویت پس از وصله» باشد، نه الزاماً «نفوذ اثبات‌شده پیش از وصله».

در کنار این دو زیرو‌دی، دو آسیب‌پذیری مهم دیگر در Microsoft Office توجه تحلیل‌گران را جلب کرده است: CVE-2026-26110 و CVE-2026-26113. هر دو از نوع Remote Code Execution هستند و گزارش BleepingComputer تصریح می‌کند که می‌توان از آن‌ها از طریق Preview Pane سوءاستفاده کرد. همین ویژگی باعث می‌شود این دو نقص برای محیط‌های کاربری، ایستگاه‌های اداری و گردش‌های ایمیلی پرریسک‌تر باشند، زیرا سناریوی بهره‌برداری می‌تواند با تعامل کمتر کاربر انجام شود. به همین دلیل، اولویت وصله‌سازی در Office این ماه باید بالا در نظر گرفته شود.

یکی از جالب‌ترین و در عین حال نگران‌کننده‌ترین موارد این بسته، CVE-2026-26144 در Microsoft Excel است که به‌عنوان Information Disclosure طبقه‌بندی شده، اما تحلیل Zero Day Initiative نشان می‌دهد سناریوی آن فراتر از یک افشای اطلاعات معمولی است. بر اساس این تحلیل، این نقص می‌تواند از طریق Copilot Agent mode به نشت داده از مسیرهای شبکه‌ای ناخواسته منجر شود؛ به بیان ساده‌تر، یک فایل Excel مخرب می‌تواند مسیر افشای داده را از طریق Copilot فعال کند. ZDI این مورد را نوعی «zero-click information disclosure» توصیف کرده و همین مسئله توضیح می‌دهد چرا یک نقص افشای اطلاعات، با درجه Critical برجسته شده است.

فراتر از Office و SQL Server، فهرست وصله‌های مارس ۲۰۲۶ نشان می‌دهد تمرکز اصلی مایکروسافت همچنان روی ضعف‌های Elevation of Privilege است. در گزارش‌های تحلیلی این ماه، از جمله Talos و RF Wave، بخش بزرگی از آسیب‌پذیری‌های وصله‌شده در دسته افزایش سطح دسترسی قرار گرفته‌اند. این الگو از یک جهت قابل‌توجه است: مهاجمان برای نفوذ اولیه ممکن است از یک بردار دیگر استفاده کنند، اما برای تثبیت حضور و تبدیل دسترسی محدود به کنترل گسترده‌تر، همچنان به EoPها تکیه دارند. این یعنی تیم‌های دفاعی نباید فقط روی RCE تمرکز کنند؛ ضعف‌های محلی و زنجیره‌ای هم در عمل بسیار تعیین‌کننده‌اند.

در همین به‌روزرسانی، سه مورد با درجه Critical در شمارش ۷۹‌تایی روز بروزرسانی دیده می‌شود: دو مورد RCE در Office و یک مورد افشای اطلاعات در Excel. اما اگر شمارش گسترده‌تر برخی شرکت‌های امنیتی مانند Tenable، ZDI یا CrowdStrike را ملاک قرار دهیم، تعداد کل CVEها و Criticalها بیشتر می‌شود، چون آن‌ها گاهی وصله‌های مرتبط با Edge، Azure، Mariner یا اقلام خارج از بسته روزانه را هم در تصویر کل ماه وارد می‌کنند. بنابراین اختلاف اعداد بین ۷۹، ۸۲، ۸۳ یا ۸۴ به معنای تناقض فنی نیست؛ بیشتر ناشی از تفاوت روش شمارش است. برای محیط‌های عملیاتی، مهم‌تر از خود عدد، شناسایی دقیق دارایی‌های متاثر و ترتیب اولویت وصله‌سازی است.

مـایکروسافت در این ماه علاوه بر وصله‌های روزانه، پیش‌تر هم چند اصلاح امنیتی برای مؤلفه‌هایی مانند Microsoft Edge و برخی سرویس‌های دیگر منتشر کرده بود. BleepingComputer تصریح کرده که این موارد در عدد ۷۹ لحاظ نشده‌اند. همین نکته برای تیم‌های مدیریت وصله مهم است، چون اگر سازمان‌ها صرفاً به «عدد Patch Tuesday» نگاه کنند، ممکن است بخشی از به‌روزرسانی‌های همان بازه ماهانه را از قلم بیندازند.

از منظر عملیاتی، این Patch Tuesday سه پیام روشن برای سازمان‌ها دارد. نخست، سامانه‌های Office به‌خصوص در محیط‌هایی که Preview Pane فعال است باید سریع وصله شوند، چون دو RCE این ماه مستقیماً آن سطح را درگیر می‌کنند. دوم، محیط‌های SQL Server باید CVE-2026-21262 را جدی بگیرند، چون هرچند بهره‌برداری عمومی تأیید نشده، اما تبدیل دسترسی مجاز به سطح ادمین پایگاه داده یک ریسک بسیار عملیاتی است. سوم، سازمان‌هایی که از Copilot و گردش‌های Excel در مقیاس بالا استفاده می‌کنند، باید CVE-2026-26144 را نه به‌عنوان یک Info Disclosure معمولی، بلکه به‌عنوان یک سناریوی بالقوه نشت داده بین‌سامانه‌ای ببینند.

در جمع‌بندی، Patch Tuesday مارس ۲۰۲۶ اگرچه فاقد زیرو‌دی‌های «بهره‌برداری‌شده در حملات واقعی» است، اما از نظر کیفیت ریسک، ماه سبکی محسوب نمی‌شود. حضور دو زیرو‌دی افشاشده، دو RCE در Office با بردار Preview Pane، و یک نقص Excel با پیوند به Copilot، این بسته را به یکی از نوبت‌های مهم برای تیم‌های دفاعی تبدیل کرده است.

اولویت عملی باید بر بروزرسانی فوری Office، ارزیابی وضعیت SQL Server، و بازبینی مخاطرات داده‌ای مربوط به Excel/Copilot متمرکز باشد.