{"id":568699,"date":"2026-04-27T16:00:00","date_gmt":"2026-04-27T19:00:00","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/04\/27\/windows-continua-com-vulnerabilidade-grave-mesmo-apos-correcao\/"},"modified":"2026-04-27T16:00:00","modified_gmt":"2026-04-27T19:00:00","slug":"windows-continua-com-vulnerabilidade-grave-mesmo-apos-correcao","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/geral\/2026\/04\/27\/windows-continua-com-vulnerabilidade-grave-mesmo-apos-correcao\/","title":{"rendered":"Windows continua com vulnerabilidade grave mesmo ap\u00f3s corre\u00e7\u00e3o"},"content":{"rendered":"<p>A Akamai informou que o patch da Microsoft, lan\u00e7ado em fevereiro de 2026 para corrigir a CVE-2026-21510 explorada pelo grupo APT28, n\u00e3o eliminou por completo a vulnerabilidade. A segunda falha, identificada como CVE-2026-32202, permanece ativa e permite roubo de credenciais NTLM sem qualquer intera\u00e7\u00e3o do usu\u00e1rio.<\/p>\n<p>Investiga\u00e7\u00e3o da Akamai aponta que a CVE-2026-32202 foi corrigida apenas no Patch Tuesday de abril de 2026. A Microsoft reconheceu em nota que a falha j\u00e1 havia sido explorada em ataques reais, sem detalhar incidentes.<\/p>\n<h3>Contexto da explora\u00e7\u00e3o do APT28<\/h3>\n<p>Em dezembro de 2025, o APT28 \u2014 tamb\u00e9m conhecido como Fancy Bear, Forest Blizzard e Sofacy \u2014 realizou uma campanha contra a Ucr\u00e2nia e pa\u00edses da Uni\u00e3o Europeia. O grupo utilizou dois alvos no arquivo LNK para entregar c\u00f3digo malicioso.<\/p>\n<p>O ataque se valeu de uma dupla vulnerabilidade: CVE-2026-21513 no MSHTML e CVE-2026-21510 no shell do Windows. O arquivo LNK manipulava o Windows Explorer para carregar uma DLL maliciosa a partir de um servidor remoto via UNC, sem verifica\u00e7\u00e3o de seguran\u00e7a.<\/p>\n<h3>Modo de opera\u00e7\u00e3o e falha de prote\u00e7\u00e3o<\/h3>\n<p>O fluxo envolve o envio de um atalho que aciona o Painel de Controle a partir de um servidor controlado pelo invasor, sem que o SmartScreen detecte a amea\u00e7a. A falha permiss\u00e3o a execu\u00e7\u00e3o remota sem valida\u00e7\u00e3o, abrindo caminho para explora\u00e7\u00e3o.<\/p>\n<p>A corre\u00e7\u00e3o de fevereiro introduziu o objeto COM ControlPanelLinkSite para impedir a execu\u00e7\u00e3o sem confirma\u00e7\u00e3o. Ainda assim, a verifica\u00e7\u00e3o de confian\u00e7a ocorria apenas no final da cadeia, ap\u00f3s o acesso inicial ao servidor remoto.<\/p>\n<h3>Consequ\u00eancias t\u00e9cnicas<\/h3>\n<p>A conex\u00e3o SMB \u00e9 estabelecida automaticamente, causando handshake de autentica\u00e7\u00e3o NTLM. Como resultado, o hash Net-NTLMv2 da v\u00edtima \u00e9 enviado ao atacante sem qualquer clique, viabilizando ataques de relay ou quebra de senhas offline.<\/p>\n<h3>O que muda com a atualiza\u00e7\u00e3o de abril<\/h3>\n<p>A corre\u00e7\u00e3o de abril encerra a chamada final do ShellExecuteExW com verifica\u00e7\u00e3o de assinatura e zona de origem. Mesmo assim, a Akamai aponta que a m\u00e1quina da v\u00edtima j\u00e1 mantinha autentica\u00e7\u00e3o com o servidor atacante antes da valida\u00e7\u00e3o, mantendo risco.<\/p>\n<p>A Akamai informou o Communication with Microsoft Security Response Center antes da divulga\u00e7\u00e3o p\u00fablica, justificando a omiss\u00e3o anterior da CVE-2026-21510.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Patch de fevereiro de 2026 para a CVE-2026-21510 n\u00e3o resolveu a vulnerabilidade adicional, a CVE-2026-32202, que permite roubo de credenciais NTLM sem intera\u00e7\u00e3o do usu\u00e1rio; a corre\u00e7\u00e3o chegou apenas no Patch Tuesday de abril de 2026.<\/li>\n<li>APT28 (Fancy Bear) conduziu, em dezembro de 2025, uma campanha contra a Ucr\u00e2nia e pa\u00edses da Uni\u00e3o Europeia, explorando um arquivo LNK com duas falhas: CVE-2026-21513 e CVE-2026-21510.<\/li>\n<li>A CVE-2026-32202 facilita a captura de hash Net-NTLMv2 da v\u00edtima quando o Windows Explorer acessa um caminho UNC contido no LNK, sem prompts de seguran\u00e7a.<\/li>\n<li>A corre\u00e7\u00e3o de fevereiro torrou o SmartScreen apenas na verifica\u00e7\u00e3o final, mas a m\u00e1quina da v\u00edtima ainda fazia autentica\u00e7\u00e3o com o servidor do atacante durante a renderiza\u00e7\u00e3o inicial do conte\u00fado.<\/li>\n<li>A Akamai informou o Microsoft Security Response Center sobre a descoberta antes da divulga\u00e7\u00e3o p\u00fablica; a falha j\u00e1 foi explorada em ataques reais, e o patch completo ficou dispon\u00edvel em abril de 2026.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":568719,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Mesmo com patch da Microsoft, a CVE-2026-32202 permite roubo de credenciais NTLM sem intera\u00e7\u00e3o do usu\u00e1rio, ap\u00f3s corre\u00e7\u00e3o incompleta","footnotes":""},"categories":[298,1],"tags":[84,102,269,86,98,189],"class_list":["post-568699","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-geral","category-noticias","tag-acontecimentos-internacionais","tag-conflitos","tag-internacionais","tag-internet","tag-pesquisa","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/568699","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=568699"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/568699\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/568719"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=568699"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=568699"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=568699"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}