Microsoft подтверждает активную эксплуатацию уязвимости Windows Shell CVE-2026-32202

Microsoft подтвердила эксплуатацию уязвимости CVE-2026-32202 в Windows Shell. По данным исследователя из компании Akamai Маора Дахана, уязвимость возникла из-за неполного февральского патча для CVE-2026-21510 и позволяет красть учётные данные без каких-либо действий со стороны жертвы. Атакующий похищает хеш NTLM-аутентификации через автоматически обрабатываемые LNK-файлы.

«Сбой в механизме защиты оболочки Windows позволяет неавторизованному злоумышленнику осуществлять подмену IP-адресов по сети», — отметила Microsoft в своем предупреждении. «Злоумышленнику необходимо отправить жертве вредоносный файл, который жертва должна будет запустить».

«Злоумышленник, успешно использовавший уязвимость, может получить доступ к некоторой конфиденциальной информации, но не все ресурсы затронутого компонента могут быть ему раскрыты. Злоумышленник не может вносить изменения в раскрытую информацию или ограничивать доступ к ресурсу».

Уязвимость относится к типу спуфинг - атакующий подменяет данные, чтобы выдать вредоносный объект за доверенный. Формально Microsoft описывает скрипт, при котором жертва должна запустить вредоносный файл, тем не менее в цепочке эксплойтов хакерской группировки APT28 Windows обрабатывает LNK-файл автоматически и кража учётных данных происходит без каких-либо действий пользователя.

После запуска вредоносного объекта жертвой атакующий получает доступ к части конфиденциальных данных затронутого компонента, но не может ни изменить раскрытую информацию, ни ограничить доступ к ресурсу. Бюллетень компания скорректировала 27 апреля 2026 года: индекс эксплуатируемости, флаг эксплуатации и вектор CVSS при первой публикации были указаны неверно.

Важно отметить, что организация, занимающаяся веб-инфраструктурой и безопасностью, также обратила внимание на использование уязвимости CVE-2026-21513 в начале прошлого месяца, связав её с APT28 после обнаружения вредоносного артефакта в январе 2026 года.

Технически атака опиралась на механизм разбора пространства имён Windows Shell. Хакеры APT28 размещали динамическую библиотеку на удалённом сервере и загружали её на машину жертвы по UNC-пути. Windows обрабатывала такую DLL как объект панели управления, не проверяя сетевую зону. Февральский патч добавил проверку SmartScreen для цифровой подписи и зоны происхождения CPL-файла, что снизило риск удалённого выполнения кода. Однако механизм аутентификации остался прежним: машина жертвы по-прежнему обращалась к серверу атакующего и автоматически загружала CPL-файл, разрешая UNC-путь и устанавливая SMB-соединение без участия пользователя.

Организация Akamai заявила, что патч от февраля 2026 года, хотя и снижает риск удаленного выполнения кода благодаря запуска проверки цифровой подписи и зоны источника файла CPL с помощью SmartScreen, всё же даёт возможность машине жертвы аутентифицироваться на сервере злоумышленника и автоматически загрузить файл CPL, определяя путь согласно универсальным соглашением об именовании (UNC) и инициируя соединение SMB без участия пользователя.

«Когда этот путь является UNC-путем (в частности, '\\attacker.com\share\payload.cpl'), Windows инициирует SMB-соединение с сервером злоумышленника», — сказал Дахан. «Это соединение типа SMB (серверный блок сообщений) запускает автоматическое рукопожатие аутентификации NTLM, отправляя хэш Net-NTLMv2 жертвы злоумышленнику, который впоследствии может быть использован для атак с использованием ретранслятора NTLM и взлома в автономном режиме».

«Хотя Microsoft устранила первоначальную уязвимость удаленного выполнения кода (CVE-2026-21510), осталась уязвимость принуждения к аутентификации (CVE-2026-32202). Этот разрыв между разрешением пути и проверкой доверия создавал функция кражи учётных данных без щелчка мыши через автоматически анализируемые LNK-файлы».

Ресурс