Microsoft va tapar aquest error al seu Patch Tuesday del 10 de març de 2026. És una escalada de privilegis a SQL Server que parteix d’un control d’accés defectuós: un usuari que ja té un compte vàlid al servidor pot, a través de la xarxa, acabar amb permisos de SQLAdmin, és a dir, el rol sysadmin que mana sobre tota la instància. La puntuació CVSS és 8.8, dins de la franja alta.
El problema es va catalogar com a zero-day perquè es va divulgar públicament abans que existís pedaç. Qui el va destapar va ser Erland Sommarskog, un MVP de SQL Server molt conegut a la comunitat, arran del seu article “Packaging Permissions in Stored Procedures”, on analitza com es deleguen permisos als procediments emmagatzemats. No consten atacs aprofitant l’error, així que la divulgació va ser responsable i sense explotació activa registrada.
Què falla exactament
L’identificador CWE associat és CWE-284, control d’accés indegut. El vector CVSS (AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H) explica força coses: l’atac arriba per xarxa, no requereix interacció de la víctima i només demana privilegis baixos de partida. No cal ser administrador per començar. N’hi ha prou amb tenir un compte amb permisos limitats sobre la base de dades. A partir d’aquí, l’atacant pot saltar a sysadmin i, amb aquest rol, llegir, modificar o esborrar qualsevol dada, canviar la configuració del servidor o, en molts desplegaments, executar ordres al sistema operatiu subjacent via xp_cmdshell o mecanismes similars.
L’impacte sobre confidencialitat, integritat i disponibilitat és alt en els tres eixos. Un cop amb sysadmin, no queda res que l’atacant no pugui tocar dins d’aquesta instància.
A qui afecta
L’error abasta un bon ventall de versions amb suport:
- SQL Server 2016 Service Pack 3
- SQL Server 2017 (CU 31 i branca GDR)
- SQL Server 2019 (CU 32 i branca GDR)
- SQL Server 2022 (CU 23 i branca GDR)
- SQL Server 2025 (CU 2 i branca GDR)
Totes en sistemes x64. Si gestiones una instància de SQL Server exposada a usuaris amb comptes propis, encara que siguin de baix privilegi, t’afecta. L’escenari de risc típic és una base de dades compartida per diverses aplicacions o equips, on no tothom hauria de poder arribar a sysadmin.
Mitigació
La resposta és directa: aplicar l’actualització acumulativa o GDR corresponent a la teva branca. Microsoft va publicar els pedaços per a cada versió amb suport el mateix dia de l’avís. Si no pots pedaçar de seguida, redueix la superfície: revisa qui té comptes amb accés de xarxa a la instància, limita els permisos al mínim i restringeix l’accés de xarxa al port de SQL Server només als orígens que realment el necessiten.
Aquest zero-day va formar part del lot més ampli de març. Si portes infraestructura Windows, repassa també la resta del butlletí al nostre resum del Patch Tuesday de març de 2026, on Microsoft va corregir 79 errors en total. Per saber quines versions de servidor encara reben suport, tens la fitxa de Windows Server.
Font
- NVD - NIST: CVE-2026-21262