A Microsoft revisou, na segunda-feira, seu comunicado sobre uma falha de segurança de alta gravidade já corrigida e que afeta o Windows Shell para reconhecer que ela vem sendo ativamente explorada no mundo real.
A vulnerabilidade em questão é a
CVE-2026-32202
, com CVSS 4,3.
Trata-se de uma falha de falsificação que pode permitir a um atacante acessar informações sensíveis.
O problema foi corrigido no Patch Tuesday deste mês.
“A falha do mecanismo de proteção no Windows Shell permite que um atacante não autorizado realize falsificação pela rede”, informou a Microsoft em um alerta.
“O atacante precisaria enviar à vítima um arquivo malicioso, que a própria vítima teria de executar.”
“Um atacante que explorasse com êxito a vulnerabilidade poderia visualizar algumas informações sensíveis, mas nem todos os recursos do componente impactado seriam divulgados.
O atacante não pode alterar as informações expostas nem limitar o acesso ao recurso.”
Em 27 de abril de 2026, a Microsoft disse ter corrigido o “índice de explorabilidade, o indicador de exploração e o vetor CVSS”, pois estavam incorretos quando foram publicados em 14 de abril.
Embora a gigante de tecnologia não tenha compartilhado detalhes sobre a atividade de exploração, o pesquisador de segurança da Akamai, Maor Dahan, creditado por descobrir e reportar o bug, afirmou que a vulnerabilidade de zero-click decorre de um patch incompleto para a
CVE-2026-21510
.
Essa falha anterior foi transformada em arma por um grupo russo ligado a um Estado, monitorado como APT28, também conhecido como Fancy Bear, Forest Blizzard, GruesomeLarch e Pawn Storm, em conjunto com a
CVE-2026-21513
, como parte de uma cadeia de exploit.
A
CVE-2026-21510
, com CVSS 8,8, é uma falha do mecanismo de proteção no Windows Shell que permite a um atacante não autorizado burlar um recurso de segurança pela rede.
A Microsoft a corrigiu em fevereiro de 2026.
A
CVE-2026-21513
, também com CVSS 8,8, é uma falha do mecanismo de proteção no MSHTML Framework que permite a um atacante não autorizado burlar um recurso de segurança pela rede.
A Microsoft também a corrigiu em fevereiro de 2026.
Vale notar que o abuso da
CVE-2026-21513
também foi identificado pela empresa de infraestrutura e segurança web no início do mês passado, após a descoberta de um artefato malicioso em janeiro de 2026, com ligação ao APT28.
A exploração da
CVE-2026-21510
A campanha, voltada contra a Ucrânia e países da União Europeia em dezembro de 2025, usa um arquivo malicioso do tipo Windows Shortcut, conhecido como LNK, para explorar as duas vulnerabilidades, contornando o Microsoft Defender SmartScreen e permitindo a execução de código controlado pelo atacante.
“O APT28 utiliza o mecanismo de análise de namespace do Windows Shell para carregar uma biblioteca de vínculo dinâmico, ou DLL, a partir de um servidor remoto usando um caminho UNC”, explicou Dahan.
“A DLL é carregada como parte dos objetos do Painel de Controle sem validação adequada da zona de rede.”
A Akamai afirmou que o patch de fevereiro de 2026, embora tenha mitigado o risco de execução remota de código ao acionar uma verificação do SmartScreen sobre a assinatura digital do arquivo CPL e sua zona de origem, ainda permitia que a máquina da vítima se autenticasse no servidor do atacante e baixasse automaticamente o arquivo CPL, ao resolver o caminho Universal Naming Convention, ou UNC, e iniciar uma conexão SMB sem exigir interação do usuário.
“Quando esse caminho é um UNC, como '\\attacker.com\share\payload.cpl', o Windows inicia uma conexão SMB com o servidor do atacante”, disse Dahan.
“Essa conexão SMB dispara um handshake automático de autenticação NTLM, enviando o hash Net-NTLMv2 da vítima ao atacante, que depois pode ser usado em ataques de NTLM relay e quebra offline.”
“Embora a Microsoft tenha corrigido a RCE inicial, a
CVE-2026-32202
, uma falha de coerção de autenticação, permaneceu.
Essa lacuna entre a resolução do caminho e a verificação de confiança deixou uma via de zero-click para roubo de credenciais por meio de arquivos LNK analisados automaticamente.”
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...