Teknoloji devi Microsoft, Mart ayı için yayınladığı Patch Tuesday güvenlik güncellemesiyle toplam 84 güvenlik açığını kapattığını duyurdu. Bu açıklar arasında iki adet kamuya açık zero-day zafiyeti de bulunuyor. Güncelleme, şirketin yazılım ekosisteminde yer alan birçok bileşeni kapsıyor ve özellikle kurumsal kullanıcılar için önemli güvenlik iyileştirmeleri içeriyor.
Microsoft tarafından yayımlanan verilere göre kapatılan güvenlik açıklarının 8 tanesi “Critical” (kritik), 76 tanesi ise “Important” (önemli) olarak sınıflandırıldı. Bu durum, güncellemenin yalnızca küçük hataları değil, aynı zamanda ciddi güvenlik risklerini de ortadan kaldırmayı hedeflediğini gösteriyor.
En büyük pay yetki yükseltme açıklarında
Mart Patch Tuesday kapsamında kapatılan güvenlik açıklarının büyük bölümü yetki yükseltme (privilege escalation) kategorisine giriyor.
Dağılım şu şekilde gerçekleşti:
- 46 adet yetki yükseltme açığı
- 18 adet uzaktan kod çalıştırma açığı
- 10 adet bilgi sızdırma açığı
- 4 adet kimlik taklidi (spoofing) açığı
- 4 adet hizmet reddi (DoS) açığı
- 2 adet güvenlik mekanizması atlatma açığı
Bu tablo özellikle yetki yükseltme açıklarının saldırganlar tarafından sıklıkla kullanıldığını gösteriyor. Bu tür açıklar genellikle sistemlere ilk erişim sağlandıktan sonra daha yüksek sistem izinleri elde etmek için kullanılıyor.
Kamuya açık iki zero-day zafiyeti
Güncellemede dikkat çeken en önemli detaylardan biri iki güvenlik açığının kamuya açık şekilde bilinmesi oldu.
Bunlardan ilki CVE-2026-26127 numaralı güvenlik açığı. Bu zafiyet .NET platformunda yer alan bir hizmet reddi (DoS) açığı olarak tanımlanıyor.
Bu açık saldırganların ağ üzerinden belirli koşullar altında sistemin çalışmasını durdurmasına veya hizmetin kesintiye uğramasına neden olmasına imkan tanıyabiliyor.
İkinci açık ise CVE-2026-21262 numarasıyla takip ediliyor. Bu zafiyet Microsoft SQL Server üzerinde bulunan bir yetki yükseltme açığı.
Bu güvenlik açığı sayesinde sistemde yetkisi bulunan bir kullanıcı ağ üzerinden daha yüksek erişim seviyelerine ulaşabiliyor.
Her iki açık da kamuya açıklanmış olsa da Microsoft bu zafiyetlerin henüz aktif saldırılarda kullanıldığına dair bir kanıt bulunmadığını belirtiyor.
En yüksek riskli açık 9.8 puan aldı
Mart güncellemesindeki en yüksek risk derecesine sahip güvenlik açığı ise CVE-2026-21536 olarak kaydedildi.
Bu açık Microsoft Devices Pricing Program içinde bulunan bir uzaktan kod çalıştırma zafiyeti olarak tanımlanıyor ve 9.8 CVSS puanı ile en kritik seviyede değerlendiriliyor.
Microsoft, bu açığın tamamen giderildiğini ve kullanıcıların ek bir işlem yapmasına gerek olmadığını açıkladı.
İlginç bir detay ise bu açığın yapay zeka destekli bir güvenlik araştırma platformu olan XBOW tarafından keşfedilmiş olması.
Bu durum, yapay zekanın güvenlik araştırmalarında giderek daha önemli bir rol oynadığını gösteriyor.
Winlogon açığı SYSTEM yetkisi kazandırabiliyor
Mart güncellemesinde dikkat çeken bir başka güvenlik açığı da CVE-2026-25187 numarasıyla takip edilen Winlogon yetki yükseltme zafiyeti oldu.
Bu açık Winlogon sürecindeki hatalı bağlantı çözümleme mekanizmasından kaynaklanıyor.
Açık şu şekilde çalışıyor:
- düşük yetkiye sahip bir kullanıcı sisteme erişim sağlıyor
- Winlogon içindeki bağlantı takip mekanizmasını manipüle ediyor
- sistemde SYSTEM seviyesinde yetki elde edebiliyor
Bu zafiyet Google Project Zero araştırmacılarından James Forshaw tarafından rapor edildi.
Uzmanlara göre bu tür açıklar özellikle saldırganlar sistemde ilk erişimi elde ettikten sonra tam kontrol sağlamak için kullanılan kritik araçlar arasında yer alıyor.
Azure tarafında SSRF zafiyeti
Mart Patch Tuesday kapsamında dikkat çeken bir diğer güvenlik açığı ise CVE-2026-26118 olarak tanımlanan bir server-side request forgery (SSRF) zafiyeti.
Bu açık Azure Model Context Protocol sunucusunda bulunuyor.
Saldırganlar bu açığı kullanarak:
- özel hazırlanmış bir URL gönderebiliyor
- sunucunun bu URL’ye istekte bulunmasını sağlayabiliyor
- bu işlem sırasında kimlik doğrulama tokenlarını ele geçirebiliyor
Eğer saldırı başarılı olursa saldırganlar MCP sunucusunun sahip olduğu erişim izinlerini kullanarak farklı Azure kaynaklarına erişebilir.
Excel ve Copilot üzerinden veri sızıntısı riski
Kritik güvenlik açıklarından biri de Microsoft Excel içinde bulunan CVE-2026-26144 numaralı zafiyet oldu.
Bu açık cross-site scripting (XSS) türünde bir güvenlik problemi olarak tanımlanıyor.
Microsoft’a göre bu zafiyet:
- Excel içindeki Microsoft Copilot Agent modunun
- istemeden veri göndermesine neden olabiliyor.
Bu durum teorik olarak zero-click veri sızıntısı saldırılarına yol açabilir.
Özellikle kurumsal ortamlarda Excel dosyalarında şu tür veriler bulunabiliyor:
- finansal bilgiler
- şirket içi belgeler
- operasyonel veriler
- fikri mülkiyet
Bu nedenle böyle bir güvenlik açığı kurumsal güvenlik açısından ciddi riskler oluşturabiliyor.
Windows Autopatch için yeni güvenlik yaklaşımı
Microsoft ayrıca güncellemeyle birlikte Windows Autopatch hizmetinde önemli bir değişiklik yapacağını duyurdu.
Şirket artık bazı güvenlik güncellemelerini hotpatch yöntemiyle dağıtmayı planlıyor.
Bu sistem sayesinde:
- güvenlik yamaları
- cihaz yeniden başlatılmadan uygulanabilecek.
Microsoft’a göre bu yaklaşım sayesinde kurumlar çok daha hızlı güvenlik uyumluluğu sağlayabilecek.
Yeni varsayılan davranışın Mayıs 2026 Windows güvenlik güncellemesiyle birlikte devreye girmesi planlanıyor.
Kurumlar için kritik bir güncelleme
Mart Patch Tuesday güncellemesi genel olarak değerlendirildiğinde kurumsal BT ekipleri için oldukça önemli bir güvenlik paketi olarak görülüyor.
Özellikle:
- yetki yükseltme açıklarının fazlalığı
- Copilot ve yapay zeka entegrasyonlarını etkileyen zafiyetler
- bulut servislerini hedef alan açıklar
modern siber saldırıların çok katmanlı hale geldiğini gösteriyor.
Microsoft’un yayımladığı bu güncellemeler sayesinde kullanıcıların ve kurumların sistemlerini mümkün olan en kısa sürede güncellemesi öneriliyor.
