A Microsoft corrigiu uma vulnerabilidade no Windows Shell no Patch Tuesday de fevereiro – CVE-2026-21510, que foi atacado pela gangue cibernética APT28 – mais conhecida como Fancy Bear. Os patches não são suficientes e deixam mais falhas de segurança. E agora também é atacado na Internet.
Leia mais depois do anúncio
A Microsoft lançou uma nova vulnerabilidade CVE-2026-32202 (CVSS 4.3risco”médio“) foi corrigido com um patch de software no dia do patch de abril. No entanto, na segunda-feira, os desenvolvedores atualizaram a entrada de vulnerabilidade: O buraco de falsificação no shell do Windows agora também está sendo explorado por atores maliciosos em liberdade. O efeito não parece tão sério quanto antes do patch inadequado de fevereiro.
Os invasores podem acessar algumas informações confidenciais, mas não podem alterar informações ou bloquear recursos. A Microsoft explicou ainda que os mecanismos de proteção não estavam funcionando corretamente, permitindo que atores mal-intencionados realizassem ataques de falsificação na rede. Porém, segundo a Microsoft, isso exige que a vítima execute um arquivo malicioso enviado pelo invasor. A instalação de atualizações do Patchday protege contra o uso indevido de vulnerabilidades.
Histórico de vulnerabilidade
No entanto, a Akamai publicou uma análise mais detalhada em seu blog. Ao contrário da Microsoft, os analistas de TI classificaram a nova vulnerabilidade como uma vulnerabilidade de clique zero. O computador da vítima então se autentica no servidor do invasor sem interação do usuário. O ataque original permitiu a execução de código malicioso da rede (RCE, Remote Code Execution). O primeiro patch bloqueia arquivos LNK não assinados ou não confiáveis, como aqueles que apontam para arquivos CPL, usando o SmartScreen. No entanto, o programador não prestou atenção a um local no caminho do código: o Windows Explorer tenta extrair ícones de arquivos como .lnk para o arquivo de destino – .cpl. E aqui está a verificação do caminho, incluindo a conexão com o servidor SMB externo. Isso acontece quando o diretório é exibido, sem mais cliques do usuário.
Por exemplo, o arquivo LNK contém um link para “\\attacker.com\share\payload.cpl”, que faz com que o computador estabeleça uma conexão com o servidor SMB “\\attacker.com\” enquanto lista o diretório e, assim, inicia a autenticação NTLM automática, que envia o hash Net-NTLMv2 do computador da vítima para o invasor. Isso pode então ser mal utilizado em ataques de retransmissão NTLM e para cracking offline, explicou Akamai.
O webinar heise-security-Pro “Protegendo a autenticação no Active Directory: (sobrevivendo) com conceitos desatualizados da Microsoft” fornece orientação para administradores sobre segurança com explicações detalhadas e informações básicas sobre Net-NTLM.
Leia mais depois do anúncio
(dmk)
