Проблема CVE-2026-32202 в Windows Shell позволяет злоумышленникам похищать хеши NTLM-аутентификации через LNK-файлы. Жертве не нужно ничего нажимать — система обрабатывает файл автоматически.
Компания Microsoft подтвердила активную эксплуатацию уязвимости CVE-2026-32202 в Windows Shell. Проблему обнаружил исследователь из Akamai Маор Дахан. Уязвимость относится к типу спуфинг — атакующий подменяет данные, чтобы выдать вредоносный объект за доверенный.
Технически атака опирается на механизм разбора пространства имён Windows Shell. Хакеры размещают динамическую библиотеку (DLL) на удалённом сервере. Windows по UNC-пути загружает её без проверки сетевой зоны. Февральский патч добавил проверку SmartScreen для CPL-файлов, но механизм аутентификации остался прежним. Если путь указывает на сетевой ресурс (например, \attacker.com\share\payload.cpl), Windows автоматически устанавливает SMB-соединение и отправляет хеш NTLM-аутентификации без ведома пользователя.
Перехватив хеш, атакующий может перенаправить его на другой сервер (NTLM relay) или подобрать пароль офлайн.
Microsoft исправила уязвимость в ежемесячном обновлении безопасности. Оценка CVSS — 4,3. Бюллетень компания скорректировала 27 апреля: при первой публикации 14 апреля индекс эксплуатируемости и вектор CVSS указали неверно.
Группировка APT28 (Fancy Bear, Forest Blizzard) использовала эту уязвимость в связке с CVE-2026-21513 в MSHTML Framework. Обе ошибки позволяли обойти функции сетевой безопасности. Akamai зафиксировала эксплуатацию CVE-2026-21513 месяцем ранее.
Читать далее:
Вселенная внутри черной дыры: наблюдения «Уэбба» подтверждают странную гипотезу
Испытания ракеты Starship Илона Маска вновь закончились взрывом в небе
Сразу четыре похожих на Землю планеты нашли у ближайшей одиночной звезды
Обложка: freepik