Microsoftは2026年3月のパッチ火曜日(Patch Tuesday)において、83件のCVE(Common Vulnerabilities and Exposures)に対処するセキュリティ更新プログラムをリリースした。深刻度の内訳は「Critical(緊急)」が8件、「Important(重要)」が75件となっている。
Azure MCPサーバーのSSRF脆弱性が要注意
今月のアップデートで特に注目すべきは、**Azure MCP(Model Context Protocol)サーバーに存在するSSRF(Server-Side Request Forgery)脆弱性(CVE-2026-26118)**だ。CVSSv3スコアは8.8と高く、MCPサーバーを活用したAI開発環境を運用している組織には優先的な適用が推奨される。MCPはAnthropicが主導する標準プロトコルで、AIエージェントと外部ツール・データソースを繋ぐ仕組みとして急速に普及しており、その普及に伴い攻撃対象面も広がっている点に留意が必要だ。
ゼロデイを含むSQL Server特権昇格(EoP)
CVE-2026-21262、CVE-2026-26115、CVE-2026-26116は、Microsoft SQL Serverに影響する特権昇格(EoP)脆弱性で、いずれもCVSSv3スコア8.8。このうちCVE-2026-21262はパッチ公開前にゼロデイとして公開されていた。悪用に成功すると攻撃者はSQL Serverのsysadmin権限を取得できるため、データベース管理者は早急な対応が求められる。
.NETのDoS脆弱性もパッチ公開前に情報漏洩
CVE-2026-26127は、.NET 9.0および10.0(Windows・macOS・Linux対応)に影響するサービス拒否(DoS)脆弱性で、CVSSv3スコアは7.5。こちらもパッチ公開前に情報が公開されたが、Microsoftは「悪用の可能性は低い」と評価している。同時に、Linux上の.NET 10に存在するEoP脆弱性(CVE-2026-26131)も修正された。
Windowsカーネルの特権昇格にも複数の修正
Windowsカーネルに影響するEoP脆弱性として、CVE-2026-24287、CVE-2026-24289、CVE-2026-26132の3件が修正された(各CVSSv3スコア7.8)。ローカルの認証済み攻撃者がSYSTEM権限を取得できる可能性があり、CVE-2026-24289とCVE-2026-26132は「悪用の可能性が高い(Exploitation More Likely)」とMicrosoftが評価している。2026年に入りWindowsカーネルのEoPパッチは累計6件に達した。
今月の傾向
今月修正された脆弱性の種類別では、**特権昇格(EoP)が55.4%**と最多で、リモートコード実行(RCE)の20.5%がこれに続く。MCPサーバーやAzure関連サービスを利用している環境では特に早急な適用を検討されたい。
元記事: Microsoft March 2026 Patch Tuesday: 83 CVEs including Azure MCP Server SSRF (CVE-2026-26118)