El Patch Tuesday de març de 2026 de Microsoft es va tancar amb un error que barreja dos mons: un vell conegut de la seguretat web, el XSS, i la nova capa d’agents d’intel·ligència artificial que s’està colant a les aplicacions d’oficina. La vulnerabilitat és CVE-2026-26144, una fuita d’informació a Microsoft Excel que Microsoft va classificar com a crítica, la nota més alta del lot de març, tot i ser formalment un problema de divulgació d’informació i no d’execució de codi.
Què és la vulnerabilitat
Al fons hi ha un cross-site scripting (XSS). Un atacant prepara un full de càlcul amb contingut manipulat de manera que, en processar-se, s’injecta i s’executa codi en un context on no hauria de fer-ho. Fins aquí seria un problema seriós però acotat. El que eleva el risc és la combinació amb l’agent de Copilot integrat a l’entorn d’Office.
Quan el XSS s’encadena amb aquest agent, l’atacant pot arribar a llegir i extreure dades sensibles de l’usuari sense que aquest obri deliberadament res perillós ni accepti cap diàleg. Per això es parla d’un atac zero-click: la víctima no ha de prémer, confirmar ni executar res perquè la informació comenci a sortir. El mateix assistent d’IA, amb els seus permisos per llegir contingut i actuar-hi, esdevé el vehicle de l’exfiltració.
Aquest patró és el que preocupa Microsoft i qui investiga seguretat. Els agents d’IA tenen accés ampli a documents, correu i dades de l’usuari, i raonen sobre contingut que pot venir de fonts no fiables. Un error clàssic d’aplicació, sumat a aquests permisos, té un abast molt més gran del que tindria tot sol.
A qui afecta i gravetat
El producte afectat és Microsoft Excel, dins del paquet Office. La qualificació crítica que li va donar Microsoft no és habitual en un error de divulgació d’informació: indica que una explotació amb èxit podria exposar dades molt sensibles. Qualsevol organització que combini Excel amb les funcions de Copilot ho hauria de tractar com a prioritari.
De moment no consten atacs aprofitant aquest error en el moment de la publicació. Tot i així, la naturalesa zero-click i el fet que faci servir un component legítim com a vector el fan especialment incòmode: no hi ha cap comportament sospitós evident que avisi l’usuari.
Mitigació
La resposta és la de sempre amb un Patch Tuesday: aplicar les actualitzacions de març de 2026 de Microsoft. El pedaç per a CVE-2026-26144 va sortir en aquesta tanda, juntament amb la resta d’errors del mes. En entorns gestionats convé desplegar-lo com més aviat millor a tots els equips amb Office, parant atenció a les instal·lacions d’Excel i a les configuracions on Copilot té accés a documents.
Com a mesura de fons, revisa quins permisos i quines fonts de contingut tenen els agents d’IA a la teva organització. Un assistent que processa fitxers arribats per correu o descarregats d’internet hereta el risc de qualsevol error d’aquests documents.
Aquest cas no va ser l’únic crític del mes. Al mateix Patch Tuesday Microsoft va corregir un RCE a Office explotable des del tauler de vista prèvia i un zero-day a SQL Server que permetia escalar a sysadmin. Si gestiones equips Windows, val la pena revisar-los junts.