Microsoft a publié mardi des correctifs pour un ensemble de 84 nouvelles failles de sécurité affectant divers composants logiciels, dont deux étaient déjà connues du public.

Parmi ces vulnérabilités, huit sont jugées critiques et 76 importantes. Quarante-six des failles corrigées concernent l’élévation de privilèges, suivies de 18 exécutions de code à distance, 10 divulgations d’informations, quatre usurpations d’identité, quatre attaques par déni de service et deux contournements de mesures de sécurité.

Ces correctifs s’ajoutent aux 10 vulnérabilités qui ont été corrigées dans son navigateur Edge basé sur Chromium depuis la publication de la mise à jour Patch Tuesday de février 2026 .

Les deux vulnérabilités zero-day divulguées publiquement sont CVE-2026-26127 (score CVSS : 7,5), une vulnérabilité de déni de service dans .NET, et CVE-2026-21262 (score CVSS : 8,8), une vulnérabilité d’élévation de privilèges dans SQL Server.

La vulnérabilité présentant le score CVSS le plus élevé dans la mise à jour de ce mois-ci est une faille critique d’exécution de code à distance dans le programme de tarification des appareils Microsoft. La vulnérabilité CVE-2026-21536 (score CVSS : 9,8) a été entièrement corrigée, selon Microsoft, et aucune action n’est requise de la part des utilisateurs. La plateforme de découverte de vulnérabilités autonome XBOW, basée sur l’intelligence artificielle (IA), est à l’origine de la découverte et du signalement de ce problème.

« Ce mois-ci, plus de la moitié (55 %) de toutes les CVE du Patch Tuesday étaient des bugs d’élévation de privilèges, et parmi ceux-ci, six ont été jugés comme étant plus susceptibles d’être exploités dans les composants graphiques Windows, l’infrastructure d’accessibilité Windows, le noyau Windows, le serveur SMB Windows et Winlogon », a déclaré Satnam Narang, ingénieur de recherche senior chez Tenable.

« Nous savons que ces failles sont généralement utilisées par les acteurs malveillants dans le cadre d’activités post-compromission, une fois qu’ils ont pénétré les systèmes par d’autres moyens (ingénierie sociale, exploitation d’une autre vulnérabilité). »

La faille d’élévation de privilèges de Winlogon ( CVE-2026-25187 , score CVSS : 7,8) exploite une résolution de liens incorrecte pour obtenir les privilèges SYSTEM. Le chercheur James Forshaw, du projet Google Zero, est remercié pour avoir signalé cette vulnérabilité.

« Cette faille permet à un attaquant authentifié localement et disposant de privilèges limités d’exploiter une condition de suivi de lien dans le processus Winlogon et d’obtenir des privilèges SYSTEM », a déclaré Jacob Ashdown, ingénieur en cybersécurité chez Immersive. « Cette vulnérabilité ne requiert aucune interaction de l’utilisateur et sa faible complexité d’exploitation en fait une cible facile une fois qu’un attaquant a réussi à s’y infiltrer. »

Une autre vulnérabilité notable est CVE-2026-26118 (score CVSS : 8,8), un bug de falsification de requête côté serveur dans le serveur Azure Model Context Protocol (MCP) qui pourrait permettre à un attaquant autorisé d’élever ses privilèges sur un réseau.

« Un attaquant pourrait exploiter cette faille en envoyant des données spécialement conçues à un outil serveur Azure MCP (Model Context Protocol) qui accepte les paramètres fournis par l’utilisateur », a déclaré Microsoft.

« Si l’attaquant parvient à interagir avec l’agent MCP, il peut soumettre une URL malveillante à la place d’un identifiant de ressource Azure normal. Le serveur MCP envoie alors une requête sortante à cette URL et, ce faisant, peut inclure son jeton d’identité managé. Cela permet à l’attaquant de capturer ce jeton sans avoir besoin d’un accès administrateur. »

L’exploitation réussie de cette vulnérabilité pourrait permettre à un attaquant d’obtenir les autorisations associées à l’identité gérée du serveur MCP. L’attaquant pourrait alors tirer parti de ce comportement pour accéder à toutes les ressources auxquelles cette identité gérée est autorisée à accéder, ou pour y effectuer des actions.

Parmi les failles critiques corrigées par Microsoft figure une vulnérabilité de divulgation d’informations dans Excel. Référencée CVE-2026-26144 (score CVSS de 7,5), elle est décrite comme une vulnérabilité de type cross-site scripting (XSS) résultant d’une neutralisation incorrecte des données d’entrée lors de la génération de pages web.

Le fabricant de Windows a déclaré qu’un attaquant exploitant cette faille pourrait potentiellement amener le mode Agent Copilot à exfiltrer des données dans le cadre d’une attaque sans clic.

« Les vulnérabilités liées à la divulgation d’informations sont particulièrement dangereuses dans les environnements d’entreprise où les fichiers Excel contiennent souvent des données financières, de la propriété intellectuelle ou des documents opérationnels », a déclaré Alex Vovk, PDG et cofondateur d’Action1, dans un communiqué.

« Si cette faille est exploitée, des attaquants pourraient extraire discrètement des informations confidentielles des systèmes internes sans déclencher d’alertes évidentes. Les organisations utilisant des fonctionnalités de productivité assistées par l’IA pourraient être davantage exposées, car les agents automatisés pourraient transmettre involontairement des données sensibles en dehors du périmètre de l’entreprise. »

Ces correctifs interviennent alors que Microsoft a annoncé modifier le comportement par défaut de Windows Autopatch en activant les mises à jour de sécurité à chaud afin de sécuriser les appareils plus rapidement.

« Ce changement de comportement par défaut s’applique à tous les appareils compatibles avec Microsoft Intune et à ceux qui accèdent au service via l’API Microsoft Graph à partir de la mise à jour de sécurité Windows de mai 2026 », a déclaré Redmond . « L’application des correctifs de sécurité sans redémarrage permet aux entreprises d’atteindre un taux de conformité de 90 % en deux fois moins de temps, tout en conservant le contrôle. »