Microsoft потврди активна експлоатација на Windows Shell CVE-2026-32202

Microsoft во понеделникот ја ажурираше својата безбедносна белешка за веќе закрпена, високо-сериозна безбедносна ранливост што го засега Windows Shell, за да потврди дека таа активно се експлоатира во реални напади.

Станува збор за ранливоста CVE-2026-32202 (CVSS оценка: 4.3), spoofing ранливост која може да му овозможи на напаѓач да пристапи до чувствителни информации. Таа е поправена во рамки на Patch Tuesday ажурирањето за овој месец.

„Неуспех на заштитниот механизам во Windows Shell овозможува неовластен напаѓач да изврши spoofing преку мрежа,“ наведе Microsoft во своето известување. „Напаѓачот би морал да испрати злонамерна датотека до жртвата, која таа мора да ја изврши.“

„Напаѓач кој успешно ја искористил ранливоста може да прегледа дел од чувствителните информации (доверливост), но не сите ресурси во засегнатата компонента би биле достапни. Напаѓачот не може да ги менува откриените информации (интегритет), ниту да го ограничи пристапот до ресурсите (достапност).“

На 27 април 2026 година, Microsoft соопшти дека ги исправил „Exploitability Index“, „Exploited flag“ и „CVSS vector“, бидејќи тие биле неточни при објавата на 14 април.

Иако компанијата не сподели детали за активната злоупотреба, безбедносниот истражувач од Akamai, Maor Dahan, кој ја открил ранливоста, изјави дека zero-click слабоста произлегува од нецелосна закрпа за CVE-2026-21510.

Таа ранливост била злоупотребувана од руска државно поддржана група за закани позната како APT28 (позната и како Fancy Bear, Forest Blizzard, GruesomeLarch и Pawn Storm), заедно со CVE-2026-21513 во рамки на експлоат-ланец:

• CVE-2026-21510 (CVSS 8.8) – неуспех на заштитен механизам во Windows Shell што дозволува заобиколување на безбедносна функција преку мрежа (поправена во февруари 2026)
• CVE-2026-21513 (CVSS 8.8) – неуспех во MSHTML Framework што овозможува заобиколување на безбедносна функција преку мрежа (поправена во февруари 2026)

Вреди да се напомене дека злоупотребата на CVE-2026-21513 беше претходно пријавена од компанија за веб инфраструктура и безбедност, која ја поврза со APT28 по откривање на злонамерен артефакт уште во јануари 2026 година.

Кампањата, насочена кон Украина и земји од ЕУ во декември 2025 година, користи злонамерна Windows Shortcut (LNK) датотека за да ги експлоатира двете ранливости, со што ефективно се заобиколува Microsoft Defender SmartScreen и се овозможува извршување на код контролиран од напаѓачот.

„APT28 го злоупотребува Windows Shell namespace механизмот за парсирање за да вчита динамичка библиотека (DLL) од оддалечен сервер преку UNC патека,“ објасни истражувачот Dahan. „DLL-от се вчитува како дел од Control Panel (CPL) објектите без соодветна проверка на мрежната зона.“

Akamai наведува дека февруарскиот 2026 patch, иако го ублажил ризикот од remote code execution со тоа што активира SmartScreen проверка на дигиталниот потпис и изворната зона на CPL датотеката, сепак дозволувал жртвата автоматски да се поврзе со серверот на напаѓачот и да ја преземе CPL датотеката преку резолуција на UNC патека и иницирање SMB конекција без интеракција од корисникот.

„Кога таа патека е UNC патека (како ‘\attacker.com\share\payload.cpl’), Windows автоматски иницира SMB конекција со серверот на напаѓачот,“ вели Dahan. „Оваа SMB конекција активира автоматски NTLM автентикациски handshake, при што се испраќа Net-NTLMv2 хашот на жртвата, кој подоцна може да се искористи за NTLM relay напади и offline cracking.“

„Иако Microsoft го поправи првичниот RCE (CVE-2026-21510), остана пропуст за coercion на автентикација (CVE-2026-32202). Овој јаз помеѓу резолуција на патека и проверка на доверба остави zero-click вектор за кражба на креденцијали преку автоматски парсирани LNK датотеки.“

Извори:

• The Hacker News – Microsoft Confirms Active Exploitation of Windows Shell CVE-2026-32202 The Hacker News