CVE-2026-32202 – это уязвимость спуфинга Windows Shell, устраненная Microsoft в обновлении Patch Tuesday за апрель 2026 года. Позже Microsoft обновила свое сообщение и подтвердила, что уязвимость активно эксплуатировалась в реальных атаках.
Анализ Cynet
Cynet помогает организациям снизить риски, связанные с CVE-2026-32202, обеспечивая многоуровневую видимость, выявление, предотвращение и реагирование на всех этапах эксплуатации. Это также включает активность после эксплуатации, которая может происходить в дальнейшем.
Команды Cynet Research и CyOps активно отслеживают и исследуют CVE-2026-32202, в том числе техники эксплуатации и связанное поведение злоумышленников. Cynet CyOps обеспечивает круглосуточный мониторинг сред клиентов и ищет подозрительную активность, которая может указывать на эксплуатацию, кражу учетных данных, разветвление атаки или дальнейшую компрометацию.
Унифицированная платформа Cynet помогает командам безопасности выявлять подозрительное поведение, связанное с CVE-2026-32202, в частности:
- вредоносную или подозрительную активность файлов .LNK;
- аномальное поведение Windows Shell или Explorer;
- злоупотребление учетными данными и неправомерное использование аккаунтов;
- попытки разветвления атаки и закрепления в системе;
- активность после эксплуатации в средах конечных точек, сети, аккаунтов и SaaS.
Рекомендуемые действия и лучшие практики:
- Организациям следует немедленно применить апрельское обновление Microsoft Patch Tuesday за 2026 год.
- Просмотреть пораженные активы Windows, указанные Microsoft/NVD.
- Ограничить ненужный исходящий SMB-трафик там, где это возможно с операционной точки зрения.
Краткая хронология:
- Январь 2026: APT28 эксплуатирует CVE-2026-21510, доставляя вредоносный LNK-файл через Word.
- Февраль 2026: Microsoft исправила начальную цепочку RCE и обхода SmartScreen, связанного с CVE-2026-21510.
- Akamai обнаруживает, что исправление Microsoft для CVE-2026-21510 является неполным, что приводит к CVE-2026-32202.
- 14 апреля 2026: Microsoft выпустила апрельское обновление Patch Tuesday, устраняющее неисправленную проблему, зарегистрированную как CVE-2026-32202.
- 27 апреля 2026: Microsoft обновила метаданные сообщения, подтвердив активную эксплуатацию и уточнив данные о возможности эксплуатации и оценки CVSS.
Понимание пути эксплуатации CVE-2026-32202
CVE-2026-32202 следует рассматривать в контексте предварительной уязвимости Windows Shell – CVE-2026-21510.
CVE-2026-21510 была связана с цепочкой эксплуатации вредоносных .LNK-файлов, в которой обработку Windows Shell можно было использовать для обращения к удаленному содержимому через SMB. Такое поведение открывало более серьезный путь атаки, включавший обход SmartScreen и удаленное исполнение кода.
Обновление Microsoft за февраль 2026 устранило компоненты этой цепочки, связанные с удаленным исполнением кода и обходом SmartScreen. Однако обновление не полностью устранило базовое условие, позволяющее Windows инициировать исходную SMB-аутентификацию при обработке удаленного пути, указанного в .LNK-файле.
Это поведение теперь отслеживается как CVE-2026-32202. В отличие от CVE-2026-21510, CVE-2026-32202 не является прежде всего проблемой удаленного выполнения кода. Зато это проблема принудительной аутентификации, по которой машина цели может аутентифицироваться на SMB-сервере, контролируемом злоумышленником. В результате этого потенциально может быть раскрыт NTLM-хеш цели.
В потенциальном сценарии злоупотребления злоумышленник доставляет цели вредоносный .LNK-файл. Когда Windows Shell обрабатывает ярлык, система может попытаться обратиться к удаленному SMB-ресурсу, контролируемому злоумышленником. Это может запустить попытку аутентификации NTLM и раскрыть материалы учетных данных без необходимости выполнять код на конечной точке.
Приведенная выше схема иллюстрирует потенциальный путь кражи учетных данных, связанный с CVE-2026-32202. В этом сценарии злоумышленник доставляет цели вредоносный .LNK-файл. Когда она открывает каталог, содержащий этот ярлык, Windows Explorer может автоматически проанализировать файл LNK. В рамках этого процесса Windows может попытаться обратиться к удаленному SMB-пути, контролируемому злоумышленником. Это запускает исходную проверку подлинности и потенциально раскрывает NTLM-хеш цели.
После этого злоумышленник может попытаться использовать перехваченный хэш для NTLM relay, офлайн-взлома, злоупотребления учетными данными или другой дальнейшей активности, которая может помочь расширить доступ в среде. В некоторых случаях раскрытые материалы учетных данных, например NTLM-хэши, также могут передаваться, продаваться или повторно использоваться другими злоумышленниками. Это повышает риск более широкой компрометации и дополнительных попыток проникновения.
Такое поведение оставалось возможным, поскольку первоначальное исправление Microsoft устранило цепочку удаленного выполнения кода и обхода SmartScreen, но не полностью ликвидировало путь принудительной SMB-аутентификации. В результате автоматически обрабатываемые .LNK-файлы все еще могли запускать исходную аутентификацию, сохраняя вектор угона учетных данных без нажатия на сам файл.
Почему риск выходит за пределы средней оценки CVSS
Microsoft классифицирует CVE-2026-32202 как уязвимость спуфинга Windows Shell, вызванную отказом в защитном механизме. В то же время, публичные исследования подчеркивают ее практическое влияние как раскрытие учетных данных NTLM. Это важно, поскольку раскрытые NTLM-хэши потенциально могут использоваться для NTLM relay, офлайн-взлома, злоупотребления учетными данными или разветвления атаки. Особенно это актуально для сред, где NTLM все еще включен или исходящий SMB-трафик не имеет жестких ограничений.
Покрытие Cynet для активности LNK, связанной с CVE-2026-32202
Cynet развернула механизмы обнаружения, которые помогают клиентам идентифицировать и смягчать активность, связанную с CVE-2026-32202. Это охватывает вредное поведение .LNK, подозрительную активность файлов ярлыков, ссылку на удаленные SMB-пути, аномальную исходную аутентификацию и связанную активность после эксплуатации.
Стратегический обзор
Хотя критические компоненты удаленного выполнения кода в начальной цепочке атаки уже устранены, CVE-2026-32202 демонстрирует существенный сдвиг в сторону индустриализированного сбора учетных данных. Используя то, как Windows Shell обрабатывает удаленные ресурсы, злоумышленники могут принудительно вызвать аутентификацию и перехватывать хэши Net-NTLMv2 без выполнения ни одной строки кода на конечной точке.
Команды Research и CyOps активно отслеживают и исследуют CVE-2026-32202, в частности, конкретные техники эксплуатации и связанное поведение злоумышленников. Для поддержки активной защиты организациям следует сосредоточиться на усилении политик NTLM и ограничении исходящего SMB-трафика, чтобы нейтрализовать этот устойчивый путь принудительной аутентификации.
С унифицированной XDR платформой Cynet клиенты получают многоуровневую видимость и защиту в средах конечных точек, сети, идентичности и SaaS. Cynet совмещает поведенческую логику, аналитику на базе ИИ, элементы управления на базе Zero Trust и механизмы обнаружения на базе CTI. Это помогает идентифицировать попытки эксплуатации, злоупотребление учетными данными, разветвление атаки и подозрительную активность после эксплуатации.
Если вы хотите получить бесплатную пробную версию Cynet, оставьте свои контактные данные ниже и мы свяжемся с вами.
