Patch Tuesday mars 2026 : 3 failles Office à corriger d'urgence

Les responsables IT et sécurité peuvent un peu respirer : la dernière salve de correctifs mensuelle de Microsoft ne contient pas de patchs pour des failles critiques et/ou exploits zero day. Une bonne nouvelle donc même si la vigilance reste de mise. Pour ce mois de mars, trois vulnérabilités de haute gravité dans la suite Microsoft Office figurent en tête des 78 problèmes répertoriés dans ce patch tuesday. Et Jack Bicer, directeur de la recherche sur les failles chez Action1, affirme en effet que celles liées à Office doivent être traitées « de toute urgence ». « Les outils de bureautique restent l'un des points d'entrée les plus courants pour les pirates », explique-t-il, « et les vulnérabilités qui peuvent être déclenchées par le traitement courant de documents continuent d'élargir la surface d'attaque au sein des réseaux d'entreprise ».

L'un des trois problèmes les plus notables, selon lui, est lié à la divulgation d'informations dans Excel (CVE-2026-26144). Il résulte d'une neutralisation incorrecte des entrées lors de la génération de pages web, également connue sous le nom de « cross-site scripting ». Elle permet à un pirate de déclencher une communication réseau sortante non intentionnelle susceptible de divulguer des informations sensibles. Selon Microsoft, l'attaque nécessite un accès au réseau, mais aucune interaction ni aucun privilège de la part de l'utilisateur. Un pirate pourrait diffuser un contenu spécialement conçu qui, une fois traité par Excel, déclencherait l'exfiltration de données sans déclencher d'alerte. Cela est dangereux, car les fichiers Excel contiennent souvent des données sensibles de l'entreprise. « Un aspect particulièrement préoccupant est l'interaction potentielle avec le mode Copilot Agent », a déclaré M. Bicer dans un e-mail, « où des processus automatisés pourraient transmettre des données sensibles sans implication directe de l'utilisateur. Même sans exploitation confirmée dans la nature, la possibilité d'une exfiltration silencieuse de données à partir de feuilles de calcul contenant des données financières, opérationnelles ou de propriété intellectuelle représente un risque important pour les organisations qui dépendent fortement des flux de travail basés sur Excel. » Action1 indique que si le déploiement du correctif doit être retardé, les organisations doivent restreindre le trafic réseau sortant des applications Office et surveiller les requêtes réseau inhabituelles générées par les processus Excel. La désactivation ou la limitation des fonctionnalités d'automatisation basées sur l'IA, telles que le mode Copilot Agent, peut réduire l'exposition.

Des flux réseau liés à Microsoft Office à surveiller de près

La deuxième faille d'Office signalée par Jack Bicer est une vulnérabilité d'exécution de code à distance (CVE 2026-26113) causée par une gestion incorrecte des pointeurs mémoire par Office. Cela permet à un pirate de manipuler la manière dont l'application accède à la mémoire. Une exploitation réussie pourrait permettre à l'attaquant d'exécuter du code sur le système affecté avec les mêmes privilèges que l'utilisateur actuel. Les administrateurs doivent noter que le volet d'aperçu peut servir de vecteur d'attaque, de sorte qu'une exploitation peut se produire simplement en affichant un fichier malveillant. Ce bogue a obtenu un score CVSS de 8,4. À ce jour, aucun exploit public ni aucune preuve de concept ne sont connus. Il existe également une autre vulnérabilité d'exécution de code à distance dans Office (CVE-2026-26110) qui présente un risque en raison d'une faille de confusion de types résultant d'une mauvaise gestion des types de données incompatibles en mémoire. Comme pour la faille précédente, M. Bicer a déclaré que l'exploitation pouvait se produire lors de la prévisualisation d'un document et permettre aux pirates d'exécuter du code malveillant avec les privilèges de l'utilisateur connecté.

« Ces vulnérabilités montrent à quel point les activités quotidiennes de traitement de documents peuvent rapidement devenir des voies d'accès pour compromettre le système », a-t-il déclaré. « D'un point de vue commercial, les faille qui permettent l'exécution de code ou la divulgation de données via des logiciels de productivité largement utilisés présentent un risque opérationnel important », a ajouté M. Bicer. « Les documents Office sont régulièrement échangés par e-mail, sur des plateformes de collaboration et dans des référentiels partagés, ce qui en fait un vecteur courant pour les campagnes de phishing et les attaques ciblées. Si elles sont exploitées, ces vulnérabilités pourraient permettre aux attaquants de déployer des logiciels malveillants, de voler des informations sensibles, d'établir un accès persistant ou de se déplacer latéralement dans les réseaux d'entreprise. Le vecteur d'attaque du volet de prévisualisation est particulièrement préoccupant, car il réduit le besoin d'interaction de l'utilisateur et augmente le risque d'exposition accidentelle. »

Selon M. Bicer, pour ce Patch Tuesday, les priorités stratégiques devraient inclure le déploiement rapide de correctifs pour les environnements Office, la surveillance des activités réseau sortantes inhabituelles provenant des applications Office et la limitation des fonctionnalités de partage automatisé des données liées aux flux de travail assistés par l'IA, telles que le mode Copilot Agent. Les RSSI devraient également renforcer les contrôles qui réduisent les risques d'attaques basées sur des documents, notamment en désactivant le volet de prévisualisation lorsque cela est possible, en renforçant le filtrage des pièces jointes aux e-mails et en augmentant la surveillance des terminaux afin de détecter tout comportement anormal des processus Office. « La mise en œuvre de ces mesures réduira le risque que les interactions courantes avec les documents deviennent un point d'entrée pour les attaquants cherchant à compromettre les systèmes d'entreprise ou à extraire des données sensibles », a-t-il déclaré.

Des failles Azure aussi à corriger

Tyler Reguly, directeur adjoint de la R&D en matière de sécurité chez Fortra, a déclaré que les RSSI devraient prêter une attention particulière à neuf vulnérabilités Azure : CVE-2026-23651 et 26124 dans Compute Gallery, CVE-2026-23660 dans Portal Windows Admin Center, CVE-2026-23661, 23662 et 23664 dans IoT Explorer, CVE-2026-23665 dans Linux Virtual Machines, CVE-2026-26141 dans Arc, CVE-2026-26118 (vulnérabilité d'élévation de privilèges dans les outils Azure Model Context Protocol, et CVE-2026-26148 dans Entra ID. Cette dernière affecte les machines virtuelles Azure Linux et est classée comme très grave, avec un score CVSS de 8,1. Elle pourrait permettre à un attaquant non autorisé d'élever ses privilèges localement. Les utilisateurs Azure doivent mettre à jour l'extension de connexion SSH Azure via le gestionnaire de paquets de leur distribution Linux afin d'installer la dernière version du paquet aadsshlogin. Les systèmes sur lesquels l'extension est déjà installée ont packages.microsoft.com configuré automatiquement, aucune configuration supplémentaire n'est donc nécessaire. « L'écosystème cloud ne gère pas très bien les correctifs », a déclaré M. Reguly. « C'est un processus relativement immature, et la façon dont Microsoft gère ces produits le démontre clairement. Le CVE affectant les machines virtuelles Azure Linux (CVE-2026-23665) ou les multiples CVE affectant Azure IoT Explorer nécessitent des mécanismes de correction assez atypiques, qui peuvent demander un effort supplémentaire de la part des équipes informatiques. Les responsables de la sécurité doivent s'assurer qu'ils disposent d'inventaires d'actifs solides concernant le déploiement des systèmes et outils liés au cloud, afin que les administrateurs sachent où ces éléments se trouvent et quand ils doivent être corrigés. C'est le meilleur moyen de donner les moyens à vos administrateurs système et à vos équipes de sécurité d'agir pendant un mois calme comme celui-ci », a déclaré M. Reguly.

Chris Goettl, vice-président de la gestion des produits chez Ivanti, a noté de son côté qu'une vulnérabilité d'élévation de privilèges dans SQL Server (CVE-2026-21262), avec un score CVSS de 8,8, figure sur la liste, mais qu'elle a déjà été rendue publique. Un attaquant qui exploiterait avec succès cette vulnérabilité pourrait obtenir des privilèges d'administrateur système SQL. La faille affecte SQL Server 2016 et les éditions ultérieures. Satnam Narang, ingénieur de recherche senior chez Tenable, a commenté le correctif pour les outils Azure MCP. « Ce bogue est une falsification de requête côté serveur », a-t-il déclaré dans un e-mail, « un pirate pourrait donc l'exploiter en envoyant une requête à un serveur Azure MCP vulnérable. Mais l'exploitation nécessite que le serveur accepte les paramètres fournis par l'utilisateur. Les serveurs MCP sont devenus extrêmement populaires pour connecter des modèles linguistiques de grande taille et des applications d'IA agentielle, a-t-il noté, et avec l'essor d'outils tels que OpenClaw et d'autres agents, il est devenu encore plus crucial de sécuriser ces outils contre les cybercriminels. » Nick Carroll, responsable de la réponse aux incidents cybersécurité chez Nightwing, a repéré ce qu'il qualifie de « très bonne nouvelle ». Pendant des années, les défenseurs et les analystes SOC se sont appuyés sur le System Monitor (Sysmon) de Microsoft pour obtenir des données télémétriques haute fidélité sur la création de processus, les connexions réseau et les modifications de fichiers. Mais comme il faisait partie de la suite externe Sysinternals, son déploiement nécessitait des téléchargements manuels, des scripts personnalisés et une maintenance constante. Depuis la mise à jour de Windows 11 de mars (KB5079473), Sysmon est intégré en natif directement dans Windows 11 en tant que fonctionnalité intégrée optionnelle. Les administrateurs n'ont plus besoin de le packager dynamiquement. Il peut être simplement activé par programmation via PowerShell. « Associé à l'annonce simultanée de Microsoft selon laquelle Windows Intune activera le hotpatching par défaut en mai 2026, cela réduit considérablement les obstacles à la visibilité approfondie des terminaux et représente un gain opérationnel considérable pour les défenseurs du réseau », a-t-il déclaré.