微軟 3 月 Patch Tuesday 修補 83 個漏洞:AI 發現首例 CVE、三成與權限提升相關
回到上一頁

微軟 3 月 Patch Tuesday 修補 83 個漏洞:AI 發現首例 CVE、三成與權限提升相關

2026-03-11
微軟(Microsoft)於本週二發布了 2026 年 3 月份的例行安全性更新(Patch Tuesday),總計修補了 83 個安全性漏洞(CVE)。儘管修補數量較上月的 63 個顯著增加,但資安專家普遍認為,本月的更新內容相對「平穩」,並未出現需要企業資安團隊立即進入緊急狀態(All-hands on-deck)的毀滅性漏洞。
值得關注的是,本月更新中出現了史上首批由 AI 代理(AI Agent) 自主發現並獲編號的漏洞,象徵著資安攻防正式進入 AI 自動化時代。

整體趨勢:權限提升漏洞佔比逾五成

根據資安業者 Tenable 的統計,本月修補的 83 個漏洞中,權限提升(Elevation of Privilege, EoP) 漏洞高居首位,佔總數的 55.4%;其次為 遠端程式碼執行(Remote Code Execution, RCE) 漏洞,佔比約 20.5%。其餘則涵蓋了拒絕服務(DoS)、資訊洩漏及數據竊取等各類缺陷。
Fortra 安全研發副總監 Tyler Reguly 表示,相較於過往充滿挑戰的更新月份,今年 3 月的修補程序壓力較小。「目前的建議是:在完成標準測試週期後再進行部署即可。這是一個安靜的 Patch Tuesday,沒有理由感到恐慌。」

AI 參與開發的里程碑:CVE-2027-21536

在本次更新中,唯一獲得 CVSS 3.1 風險評分 9.8(近乎滿分)的極高危險漏洞為 CVE-2027-21536。該漏洞存在於微軟針對通路合作夥伴的「裝置定價計畫(Devices Pricing Program)」中,屬於遠端程式碼執行漏洞。
Immersive 首席網路安全工程師 Ben McCarthy 指出,該漏洞最具指標性的意義在於:它是首批由 AI 代理識別出的已知漏洞之一。McCarthy 認為,這顯示了 AI 發現複雜漏洞的速度正在加快,雖然微軟已在漏洞公開前完成修補與緩解,但這無疑預示了未來自動化攻防的趨勢。

「虛驚一場」的零日漏洞

本月有兩個漏洞在補丁發布前已公開,技術上屬於「零日漏洞(Zero-day)」,但專家評估其實際威脅有限:
  1. CVE-2026-26127 (CVSS 7.5):.NET 框架的拒絕服務漏洞。
  2. CVE-2026-21262 (CVSS 8.8):SQL Server 的權限提升漏洞。
Tenable 資深研究工程師 Satnam Narang 對此評論,這兩個漏洞是「吠得響,咬不人」。由於觸發漏洞需要預先取得授權,且攻擊複雜度高,被大規模利用的可能性極低。

重點修補清單:核心與 Office 漏洞

資安專家特別點名以下數個漏洞,建議系統管理員優先關注:
  • Windows 核心(Kernel)漏洞:包括 CVE-2026-24289CVE-2026-26132CVE-2026-24287(評分皆為 7.8)。微軟評估前兩者被利用的可能性較高,因為攻擊者無需特殊權限且不需使用者互動即可觸發。
  • Microsoft Office 預覽窗格漏洞CVE-2026-26113CVE-2026-26110(評分皆為 8.4)。這類 RCE 漏洞最危險之處在於其攻擊向量包含「預覽窗格」,使用者甚至不需要打開惡意文件,僅在檔案總管預覽時就可能受駭。
  • SMB Server 與繪圖組件:Cohesity 研究主管 Amol Sarwate 警告,CVE-2026-24294 (SMB Server) 與 CVE-2026-23668 (Graphics Component) 是攻擊者維持橫向移動與潛伏(Dwell time)的常用手段,必須嚴加防範。

專家建議:防禦鏈結式攻擊

Automox 安全經理 Ryan Braunstein 提到,本月還有兩組針對圖形裝置介面(GDI/GDI+)的漏洞:CVE-2026-25190CVE-2026-25181。雖然單一漏洞被標記為「較不可能被利用」,但若將兩者串聯(Chaining),攻擊者可藉此繞過 Windows 安全機制並執行任意代碼。他認為這種精密的攻擊手法通常需要國家級黑客組織的投入,但其回報也相對巨大。
Action1 漏洞研究總監 Jack Bicer 建議,若企業因相容性測試無法立即安裝更新,應採取以下暫時性緩解措施:
  • 關閉檔案總管中的「預覽窗格」功能。
  • 限制開啟來自不明來源的 Office 檔案。
  • 加強電子郵件過濾與端點防護監控。
【引用來源】
  1. 內部資料庫:Microsoft Security Update Guide (March 2026 Summary).
  2. 網頁搜尋(Dark Reading)Microsoft Patches 83 CVEs in March Update (Author: Jai Vijayan).
  3. 官方關鍵數據連結NVD - CVE-2027-21536 Detail
新聞來源: Dark Reading
原作者: Jai Vijayan