Microsoft Rilis Patch Maret Tangani 84 Kerentanan Termasuk Dua Zero-Day Publik

Microsoft baru saja merilis pembaruan keamanan besar untuk Patch Tuesday bulan Maret 2026 yang mengatasi 84 kerentanan keamanan baru pada berbagai komponen perangkat lunak mereka. Di antara kerentanan yang diperbaiki, terdapat dua zero-day yang sudah diketahui publik, yang menjadi sorotan utama dalam update kali ini.

Detail Kerentanan dan Tingkat Keparahannya

Dari total 84 kerentanan yang ditambal, 8 di antaranya dinilai Kritikal, sedangkan 76 lainnya masuk kategori Penting. Kerentanan terbanyak berkaitan dengan eskalasi hak istimewa, yaitu sebanyak 46 kasus. Selain itu, terdapat 18 kerentanan yang memungkinkan eksekusi kode jarak jauh, 10 terkait kebocoran informasi, 4 spoofing, 4 denial-of-service, dan 2 bypass fitur keamanan.

Tambahan patch ini juga melengkapi penanganan untuk 10 kerentanan yang telah diperbaiki sebelumnya di browser Microsoft Edge berbasis Chromium sejak pembaruan Februari 2026.

Dua Zero-Day Publik yang Menonjol

Dua zero-day yang sudah dipublikasikan dan kini telah mendapat patch adalah:

• CVE-2026-26127 (nilai CVSS 7.5): kerentanan denial-of-service pada .NET.
• CVE-2026-21262 (nilai CVSS 8.8): kerentanan eskalasi hak istimewa pada SQL Server.

Kerentanan dengan skor CVSS tertinggi pada pembaruan ini adalah CVE-2026-21536 (skor 9.8), sebuah celah eksekusi kode jarak jauh di Microsoft Devices Pricing Program. Microsoft menyatakan bahwa kerentanan ini sudah sepenuhnya dimitigasi sehingga pengguna tidak perlu mengambil tindakan tambahan. Penemuan kerentanan ini dikreditkan pada platform AI bernama XBOW yang mengotonomikan proses penemuan celah keamanan.

Fokus pada Eskalasi Hak Istimewa

Lebih dari setengah (55%) dari semua kerentanan di Patch Tuesday bulan ini terkait dengan eskalasi hak istimewa. Satnam Narang, senior staff research engineer di Tenable, menjelaskan:

"Bug eskalasi hak istimewa biasanya dimanfaatkan oleh aktor ancaman sebagai bagian dari aktivitas pasca-kompromi, setelah mereka berhasil masuk ke sistem melalui cara lain seperti rekayasa sosial atau eksploitasi kerentanan lain."

Salah satu kerentanan eskalasi yang cukup menonjol adalah CVE-2026-25187 (skor CVSS 7.8) pada proses Winlogon. Kerentanan ini memungkinkan penyerang lokal dengan hak rendah untuk mendapatkan hak SYSTEM tanpa interaksi pengguna. Peneliti Google Project Zero, James Forshaw, telah diakui sebagai pelapor celah ini.

"Kerentanan ini memanfaatkan kondisi pelacakan tautan yang salah pada proses Winlogon sehingga penyerang dapat menaikkan hak akses ke level SYSTEM," kata Jacob Ashdown, insinyur keamanan siber di Immersive. "Kerentanan ini mudah dimanfaatkan setelah penyerang memperoleh akses awal ke sistem."

Kerentanan Penting Lainnya di Azure dan Excel

Salah satu kerentanan serius lain adalah CVE-2026-26118 (skor 8.8), sebuah bug server-side request forgery (SSRF) pada Azure Model Context Protocol (MCP) server. Kerentanan ini memungkinkan penyerang yang sudah memiliki akses jaringan untuk meningkatkan hak istimewa dengan mengirimkan URL berbahaya yang dapat mencuri token identitas terkelola (managed identity token) MCP Server.

Microsoft menjelaskan:

"Jika penyerang dapat berinteraksi dengan agen berbasis MCP, mereka dapat mengirim URL berbahaya yang menyebabkan MCP Server mengirim permintaan keluar dengan token identitas yang dapat dicuri."

Hal ini memungkinkan penyerang mengakses sumber daya yang diizinkan untuk managed identity tersebut, berpotensi menyebabkan pelanggaran data atau manipulasi sumber daya cloud.

Sementara itu, kerentanan kritikal terkait kebocoran informasi juga ditemukan di Microsoft Excel, yaitu CVE-2026-26144 (skor 7.5). Kerentanan ini berupa cross-site scripting (XSS) akibat input yang tidak dinetralkan dengan benar pada saat pembuatan halaman web, yang dapat dimanfaatkan untuk menyerang mode Copilot Agent tanpa perlu interaksi pengguna.

"Kerentanan kebocoran informasi sangat berbahaya di lingkungan korporat yang berisi data sensitif seperti keuangan dan properti intelektual," ujar Alex Vovk, CEO dan co-founder Action1. "Pemanfaatan fitur AI dapat memperbesar risiko kebocoran data tanpa disadari."

Perubahan Kebijakan Windows Autopatch

Bersamaan dengan rilis patch ini, Microsoft mengumumkan perubahan perilaku default Windows Autopatch dengan mengaktifkan pembaruan hotpatch keamanan untuk mempercepat pengamanan perangkat.

Microsoft menyatakan bahwa mulai pembaruan keamanan Windows Mei 2026, fitur ini akan aktif secara otomatis pada perangkat yang memenuhi syarat di Microsoft Intune dan yang mengakses layanan melalui Microsoft Graph API.

"Penerapan patch tanpa menunggu restart dapat mempercepat tingkat kepatuhan hingga 90% dalam waktu setengah lebih cepat, sekaligus tetap memberikan kontrol kepada organisasi."

Analisis Redaksi

Menurut pandangan redaksi, pembaruan Patch Tuesday Maret 2026 ini menunjukkan betapa kompleksnya lanskap ancaman siber yang dihadapi oleh pengguna Microsoft saat ini. Fokus utama pada bug eskalasi hak istimewa mengindikasikan bahwa penyerang terus mencari celah untuk memperkuat kendali mereka setelah masuk ke sistem, sehingga memperbaiki kerentanan ini sangat krusial untuk mencegah serangan lanjutan yang lebih merusak.

Selain itu, kerentanan di layanan cloud seperti Azure MCP yang memungkinkan pencurian token managed identity menekankan pentingnya keamanan pada lingkungan cloud yang semakin diandalkan oleh perusahaan. Organisasi harus segera menerapkan patch ini dan meninjau konfigurasi keamanan cloud mereka untuk menghindari potensi penyalahgunaan.

Perubahan pada Windows Autopatch yang mempercepat proses penerapan patch juga merupakan langkah positif dalam menghadapi ancaman yang semakin cepat dan dinamis. Namun, organisasi perlu tetap waspada dan melakukan monitoring ketat pasca-patch untuk memastikan tidak ada celah yang terlewatkan.

Ke depan, pembaca disarankan terus mengikuti update keamanan dari Microsoft dan vendor lain, serta meningkatkan kesadaran keamanan siber untuk menghadapi ancaman berlapis yang terus berkembang.