CVE-2026-32202 – це вразливість спуфінгу Windows Shell, усунена Microsoft в оновленні Patch Tuesday за квітень 2026 року. Пізніше Microsoft оновила своє повідомлення й підтвердила, що вразливість активно експлуатувалася в реальних атаках.
Аналіз Cynet
Cynet допомагає організаціям зменшити ризики, пов’язані з CVE-2026-32202, забезпечуючи багаторівневу видимість, виявлення, запобігання та реагування на всіх етапах експлуатації. Це також охоплює активність після експлуатації, яка може відбуватися надалі.
Команди Cynet Research і CyOps активно відстежують і досліджують CVE-2026-32202, зокрема техніки експлуатації та пов’язану поведінку зловмисників. Cynet CyOps забезпечує цілодобовий моніторинг середовищ клієнтів і шукає підозрілу активність, яка може вказувати на експлуатацію, викрадення облікових даних, розгалуження атаки або подальшу компрометацію.
Уніфікована платформа Cynet допомагає командам безпеки виявляти підозрілу поведінку, пов’язану з CVE-2026-32202, зокрема:
- шкідливу або підозрілу активність файлів .LNK;
- аномальну поведінку Windows Shell або Explorer;
- зловживання обліковими даними та неправомірне використання облікових записів;
- спроби розгалуження атаки та закріплення в системі;
- активність після експлуатації в середовищах кінцевих точок, мережі, облікових записів і SaaS.
Рекомендовані дії та найкращі практики:
- Організаціям слід негайно застосувати квітневе оновлення Microsoft Patch Tuesday за 2026 рік.
- Переглянути уражені активи Windows, зазначені Microsoft/NVD.
- Обмежити непотрібний вихідний SMB-трафік там, де це можливо з операційного погляду.
Коротка хронологія:
- Січень 2026 року: APT28 експлуатує CVE-2026-21510, доставляючи шкідливий LNK-файл через Word.
- Лютий 2026 року: Microsoft виправила початковий ланцюжок RCE та обходу SmartScreen, пов’язаний із CVE-2026-21510.
- Akamai виявляє, що виправлення Microsoft для CVE-2026-21510 є неповним, що призводить до CVE-2026-32202.
- 14 квітня 2026 року: Microsoft випустила квітневе оновлення Patch Tuesday, яке усуває невиправлену проблему, зареєстровану як CVE-2026-32202.
- 27 квітня 2026 року: Microsoft оновила метадані повідомлення, підтвердивши активну експлуатацію та уточнивши дані щодо можливості експлуатації й оцінки CVSS.
Розуміння шляху експлуатації CVE-2026-32202
CVE-2026-32202 слід розглядати в контексті попередньої вразливості Windows Shell – CVE-2026-21510.
CVE-2026-21510 була пов’язана з ланцюжком експлуатації шкідливих .LNK-файлів, у якому обробку Windows Shell можна було використати для звернення до віддаленого вмісту через SMB. Така поведінка відкривала серйозніший шлях атаки, що включав обхід SmartScreen і віддалене виконання коду.
Оновлення Microsoft за лютий 2026 року усунуло компоненти цього ланцюжка, пов’язані з віддаленим виконанням коду та обходом SmartScreen. Однак оновлення не повністю усунуло базову умову, яка дозволяла Windows ініціювати вихідну SMB-автентифікацію під час обробки віддаленого шляху, зазначеного в .LNK-файлі.
Ця поведінка тепер відстежується як CVE-2026-32202. На відміну від CVE-2026-21510, CVE-2026-32202 не є насамперед проблемою віддаленого виконання коду. Натомість це проблема примусової автентифікації, через яку машина цілі може автентифікуватися на SMB-сервері, контрольованому зловмисником. Унаслідок цього потенційно може бути розкритий NTLM-хеш цілі.
У потенційному сценарії зловживання зловмисник доставляє цілі шкідливий .LNK-файл. Коли Windows Shell обробляє ярлик, система може спробувати звернутися до віддаленого SMB-ресурсу, контрольованого зловмисником. Це може запустити спробу NTLM-автентифікації та розкрити матеріали облікових даних без потреби виконувати код на кінцевій точці.
Наведена вище схема ілюструє потенційний шлях викрадення облікових даних, пов’язаний із CVE-2026-32202. У цьому сценарії зловмисник доставляє цілі шкідливий .LNK-файл. Коли вона відкриває каталог, що містить цей ярлик, Windows Explorer може автоматично проаналізувати .LNK-файл. У межах цього процесу Windows може спробувати звернутися до віддаленого SMB-шляху, контрольованого зловмисником. Це запускає вихідну автентифікацію та потенційно розкриває NTLM-хеш цілі.
Після цього зловмисник може спробувати використати перехоплений хеш для NTLM relay, офлайн-зламу, зловживання обліковими даними або іншої подальшої активності, яка може допомогти розширити доступ у середовищі. У деяких випадках розкриті матеріали облікових даних, наприклад NTLM-хеші, також можуть передаватися, продаватися або повторно використовуватися іншими зловмисниками. Це підвищує ризик ширшої компрометації та додаткових спроб проникнення.
Така поведінка залишалася можливою, оскільки початкове виправлення Microsoft усунуло ланцюжок віддаленого виконання коду та обходу SmartScreen, але не повністю ліквідувало шлях примусової SMB-автентифікації. У результаті автоматично оброблювані .LNK-файли все ще могли запускати вихідну автентифікацію, зберігаючи вектор викрадення облікових даних без натискання на сам файл.
Чому ризик виходить за межі середньої оцінки CVSS
Microsoft класифікує CVE-2026-32202 як вразливість спуфінгу Windows Shell, спричинену відмовою захисного механізму. Водночас публічні дослідження підкреслюють її практичний вплив як розкриття облікових даних NTLM. Це важливо, оскільки розкриті NTLM-хеші потенційно можуть використовуватися для NTLM relay, офлайн-зламу, зловживання обліковими даними або розгалуження атаки. Особливо це актуально для середовищ, де NTLM досі ввімкнений або вихідний SMB-трафік не має жорстких обмежень.
Покриття Cynet для активності LNK, пов’язаної з CVE-2026-32202
Cynet розгорнула механізми виявлення, які допомагають клієнтам ідентифікувати та пом’якшувати активність, пов’язану з CVE-2026-32202. Це охоплює шкідливу поведінку .LNK, підозрілу активність файлів ярликів, посилання на віддалені SMB-шляхи, аномальну вихідну автентифікацію та пов’язану активність після експлуатації.
Стратегічний огляд
Хоча критичні компоненти віддаленого виконання коду в початковому ланцюжку атаки вже усунені, CVE-2026-32202 демонструє суттєвий зсув у бік індустріалізованого збирання облікових даних. Використовуючи те, як Windows Shell обробляє віддалені ресурси, зловмисники можуть примусово викликати автентифікацію та перехоплювати хеші Net-NTLMv2 без виконання жодного рядка коду на кінцевій точці.
Команди Research і CyOps активно відстежують і досліджують CVE-2026-32202, зокрема конкретні техніки експлуатації та пов’язану поведінку зловмисників. Для підтримання проактивного захисту організаціям слід зосередитися на посиленні політик NTLM і обмеженні вихідного SMB-трафіку, щоб нейтралізувати цей стійкий шлях примусової автентифікації.
З уніфікованою XDR платформою Cynet клієнти отримують багаторівневу видимість і захист у середовищах кінцевих точок, мережі, ідентичностей і SaaS. Cynet поєднує поведінкову логіку, аналітику на базі ШІ, елементи керування на основі Zero Trust і механізми виявлення на базі CTI. Це допомагає ідентифікувати спроби експлуатації, зловживання обліковими даними, розгалуження атаки та підозрілу активність після експлуатації.
Якщо ви хочете отримати безкоштовну пробну версію Cynet, залиште свої контактні дані нижче, і ми зв’яжемося з вами.
