Стежити 
Початок 2026 року приніс хвилю уразливостей нульового дня, які впливають на продукти Microsoft, включаючи активно експлуатовану вразливість Windows Desktop Window Manager (CVE-2026-20805), уразливість нульового дня в Microsoft Office (CVE-2026-21509), яка спричинила позапланове виправлення, і помилку RCE в Windows Notepad (CVE-2026-20841). Випуск Microsoft March Patch Tuesday знову зайняв увагу захисників, цього разу зміщуючи увагу на CVE-2026-21262, публічно розкриту уразливість SQL Server Elevation of Privilege (EoP), яка піддає ризику корпоративні середовища.
Microsoft описує CVE-2026-21262 як помилку неналежного контролю доступу, яка дозволяє авторизованому зловмисникові підвищити привілеї через мережу. Помилка має оцінку CVSS 8.8 і була однією з двох публічно розкритих уразливостей нульового дня, виправлених у березневому Patch Tuesday. Хоча немає підтверджених доказів активної експлуатації, поєднання публічного розкриття, низької складності атаки та можливості підвищення привілеїв у основній базовій платформі робить цю помилку важкою для відмови як звичайне виправлення.
З огляду на великий розмах продуктів Microsoft в корпоративних і споживчих середовищах, уразливості в їхніх продуктах можуть мати руйнівний вплив. BeyondTrust повідомляє що Microsoft розкрила рекордні 1,360 уразливостей у 2024 році, з підвищенням привілеїв як основною категорією. Це продовжилося в 2025 році, коли Microsoft виправила 1,129 уразливостей за рік, тоді як проблеми з EoP залишалися на рівні 50% усіх виправлень станом на грудень 2025 року. Google Threat Intelligence Group додає ще один шар контексту. Вона відстежувала 90 уразливостей нульового дня “в дикій природі” у 2025 році та виявила, що корпоративні технології складали рекордні 48% виявленої експлуатації.
Зареєструйтесь на платформі SOC Prime щоб отримати доступ до найбільшого набору даних про інтелект загроз, підкріпленого набором продуктів на основі ІІ, що допомагає SOC командам безперешкодно вирішувати все, від виявлення загроз до моделювання. Захисники можуть поглиблюватися у релевантний стос виявлення для діяльності з експлуатації уразливостей, натиснувши Дослідити Виявлення.
Всі правила адаптовані до останньої MITRE ATT&CK® структурної рами і сумісні з різними платформами SIEM, EDR і Data Lake. Крім того, кожне правило містить широку метаданih, включаючи CTI посилання, потоки атак, конфігурації аудиту та багато іншого.
Кіберзахисники також можуть використовувати Uncoder AI для оптимізації рутинного інженерного процесу виявлення. Перетворюйте сирі звіти про загрози в поведінкові правила, тестуйте свою логіку виявлення, картографуйте потоки атак, перетворюйте індикатори на запити для полювання або миттєво перекладайте код виявлення різними мовами за підтримки сили ІІ та глибокої спеціалізації в галузі кібербезпеки на кожному кроці.
Аналіз CVE-2026-21262
Березневий випуск Microsoft Patch Tuesday 2026 виправив понад 80 уразливостей, включаючи дві публічно розкриті нульові дні. Протягом всього випуску, вразливості підвищення привілеїв домінували, з загальним списком, що містить 46 помилок EoP, 18 помилок RCE, 10 помилок розголошення інформації, 4 помилки відмови в обслуговуванні, 4 вразливості підробки та 2 уразливості обхіду функцій безпеки.
CVE-2026-21262 виділяється, оскільки вона впливає на SQL Server, платформу, на яку багато організацій покладаються для запуску основних додатків і зберігання даних високої цінності. Успішна експлуатація може дозволити зловмисникам перейти з облікового запису з низькими привілеями до SQL sysadmin, що фактично означає повний контроль над ураженою інстанцією бази даних. Звідси хакери можуть отримати доступ до даних або змінити їх, змінити конфігурацію, створити нові входи або встановити стійкість у SQL середовищі.
Помилка самостійно не надає початкового доступу. Зловмисник все ще потребує дійсних облікових даних та мережевої доступності до вразливої інстанції SQL Server. Це обмеження важить, але не повинно створювати фальшивого відчуття безпеки. У багатьох корпоративних середовищах облікові записи з низькими привілеями в базі даних розподілені через додатки, служби інтеграції, інструменти автоматиці та спадкові навантаження, що робить зловживання після компрометації цілком реалістичним сценарієм.
Березневий випуск Microsoft Patch Tuesday також включав декілька інших вразливостей, на які захисникам варто звернути увагу. Другий публічно розголошений нульовий день є вразливістю відмови в обслуговуванні .NET (CVE-2026-26127). Microsoft також виправила два помітні RCE помилки Office (CVE-2026-26110, CVE-2026-26113), які можуть бути використані через вікно попереднього перегляду. Ще одна важлива проблема – це вразливість розголошення інформації Excel (CVE-2026-26144) , яку, за словами дослідників, можуть потенційно використати для витоку даних через режим Copilot Agent.
Запобіжні заходи проти CVE-2026-21262
Згідно з рекомендацією Microsoft організаціям, які працюють з SQL Server, слід спершу визначити точну версію продукту і поточну збірку, а потім встановити оновлення безпеки від 10 березня, яке відповідає шляхові обслуговування інстанції.Варто зазначити, що постачальник розрізняє шлях GDR, який надає тільки виправлення безпеки, і шлях CU, який включає як виправлення безпеки, так і функціональні виправлення. Якщо інстанція перебувала на шляху GDR, слід встановити відповідний пакет GDR. Якщо вона вже отримувала релізи CU, слід встановити відповідну оновлення CU безпеки. Microsoft також відзначає, що організації можуть перейти з GDR на CU один раз, але не можуть повернутися назад з CU на GDR.
Notably, the vendor distinguishes between the GDR path, which delivers security fixes only, and the CU path, which includes both security and functional fixes. If an instance has been following the GDR track, install the matching GDR package. If it has already been receiving CU releases, install the corresponding CU security update. Microsoft also notes that organizations can move from GDR to CU once, but cannot roll back from CU to GDR afterward.
Підтримувані гілки та відповідні оновлення включають наступне:
- SQL Server 2016 SP3: KB5077474 (GDR)
- SQL Server 2017: KB5077471 (CU31) or KB5077472 (GDR)
- SQL Server 2019: KB5077469 (CU32) or KB5077470 (GDR)
- SQL Server 2022: KB5077464 (CU23) or KB5077465 (GDR)
- SQL Server 2025: KB5077466 (CU2) or KB5077468 (GDR) для Windows і Linux
Поряд з виправленням, захисники повинні переглянути входи SQL і присвоєння ролей, зменшити непотрібні привілеї для облікових записів сервісів і додатків, обмежити мережевий доступ до серверів бази даних і стежити за незвичайними змінами привілеїв або новопризначеними ролями з високими привілеями. Оскільки експлуатація вимагає дійсних облікових даних, також варто переглянути вбудовані облікові дані бази даних, загальні облікові записи служби та практики управління секретами в усьому середовищі.
Крім того, підвищивши рівень захисту за допомогою AI-Native Detection Intelligence Platform SOC Prime, команди SOC можуть отримувати вміст для виявлення з найбільшого та актуального репозиторію, безперешкодно адаптувати увесь процес від виявлення до моделювання до своїх процесів безпеки, оркеструвати робочі процеси в їхній природній мові та плавно орієнтуватися в мінливому середовищі загроз, зміцнюючи захист у великому масштабі.
FAQ
Що таке CVE-2026-21262 і як вона працює?
CVE-2026-21262 – це уразливість підвищення привілеїв високої серйозності в Microsoft SQL Server. Microsoft описує її як помилку неналежного контролю доступу, яка дозволяє авторизованому зловмисникові підвищити привілеї в мережі. На практиці це означає, що зловмисник з дійсним доступом з низькими привілеями до вразливої інстанції SQL Server може зловживати цією помилкою, щоб отримати значно вищі дозволи
Коли CVE-2026-21262 була виявлена вперше?
Уразливість була офіційно розкрита і опублікована 10 березня 2026 року в рамках березневого випуску Microsoft Patch Tuesday. Microsoft приписує відкриття цієї помилки Ерландові Соммарськогові.
Який вплив CVE-2026-21262 на системи?
CVE-2026-21262 дозволяє автентифікованому зловмисникові підвищити привілеї всередині вразливої інстанції SQL Server, потенційно отримати доступ до SQL sysadmin-рівня. На практиці це може надати зловмиснику широкого контролю над середовищем бази даних, включаючи можливість доступу або зміни чутливих даних, зміну налаштувань сервера, створення нових входів і встановлення стійкості в ураженому інстанції SQL Server.
Чи може CVE-2026-21262 все ще впливати на мене у 2026 році?
Так. Будь-яка не патчена підтримувана інстанція SQL Server може бути піддана небезпеці у 2026 році, якщо вона працює на вразливій збірці і якщо зловмисник має дійсні облікові дані та мережевий доступ до інстанції. Уразливість була публічно розкрита, що збільшує ризик подальшого зловживання, хоча Microsoft не вказувала її як активно експлуатовану на момент випуску.
Як можна захиститися від CVE-2026-21262?
Рекомендація Microsoft – визначити точну версію SQL Server і потім встановити відповідне оновлення безпеки за березень 2026 року для цього шляху обслуговування. Це означає застосування правильного пакета GDR або CU для SQL Server 2016 SP3, 2017, 2019, 2022 або 2025 залежно від вашої поточної гілки.
