Em Alta Copa do Mundo NotíciasAcontecimentos internacionaisPessoasPolíticaConflitos

Converse com o Telinha

Telinha
Oi! Posso responder perguntas apenas com base nesta matéria. O que você quer saber?

Windows continua com vulnerabilidade grave mesmo após correção

Mesmo com patch da Microsoft, a CVE-2026-32202 permite roubo de credenciais NTLM sem interação do usuário, após correção incompleta

Mesmo após correção, Windows ainda esconde vulnerabilidade grave
0:00
Carregando...
0:00
  • Patch de fevereiro de 2026 para a CVE-2026-21510 não resolveu a vulnerabilidade adicional, a CVE-2026-32202, que permite roubo de credenciais NTLM sem interação do usuário; a correção chegou apenas no Patch Tuesday de abril de 2026.
  • APT28 (Fancy Bear) conduziu, em dezembro de 2025, uma campanha contra a Ucrânia e países da União Europeia, explorando um arquivo LNK com duas falhas: CVE-2026-21513 e CVE-2026-21510.
  • A CVE-2026-32202 facilita a captura de hash Net-NTLMv2 da vítima quando o Windows Explorer acessa um caminho UNC contido no LNK, sem prompts de segurança.
  • A correção de fevereiro torrou o SmartScreen apenas na verificação final, mas a máquina da vítima ainda fazia autenticação com o servidor do atacante durante a renderização inicial do conteúdo.
  • A Akamai informou o Microsoft Security Response Center sobre a descoberta antes da divulgação pública; a falha já foi explorada em ataques reais, e o patch completo ficou disponível em abril de 2026.

A Akamai informou que o patch da Microsoft, lançado em fevereiro de 2026 para corrigir a CVE-2026-21510 explorada pelo grupo APT28, não eliminou por completo a vulnerabilidade. A segunda falha, identificada como CVE-2026-32202, permanece ativa e permite roubo de credenciais NTLM sem qualquer interação do usuário.

Investigação da Akamai aponta que a CVE-2026-32202 foi corrigida apenas no Patch Tuesday de abril de 2026. A Microsoft reconheceu em nota que a falha já havia sido explorada em ataques reais, sem detalhar incidentes.

Contexto da exploração do APT28

Em dezembro de 2025, o APT28 — também conhecido como Fancy Bear, Forest Blizzard e Sofacy — realizou uma campanha contra a Ucrânia e países da União Europeia. O grupo utilizou dois alvos no arquivo LNK para entregar código malicioso.

O ataque se valeu de uma dupla vulnerabilidade: CVE-2026-21513 no MSHTML e CVE-2026-21510 no shell do Windows. O arquivo LNK manipulava o Windows Explorer para carregar uma DLL maliciosa a partir de um servidor remoto via UNC, sem verificação de segurança.

Modo de operação e falha de proteção

O fluxo envolve o envio de um atalho que aciona o Painel de Controle a partir de um servidor controlado pelo invasor, sem que o SmartScreen detecte a ameaça. A falha permissão a execução remota sem validação, abrindo caminho para exploração.

A correção de fevereiro introduziu o objeto COM ControlPanelLinkSite para impedir a execução sem confirmação. Ainda assim, a verificação de confiança ocorria apenas no final da cadeia, após o acesso inicial ao servidor remoto.

Consequências técnicas

A conexão SMB é estabelecida automaticamente, causando handshake de autenticação NTLM. Como resultado, o hash Net-NTLMv2 da vítima é enviado ao atacante sem qualquer clique, viabilizando ataques de relay ou quebra de senhas offline.

O que muda com a atualização de abril

A correção de abril encerra a chamada final do ShellExecuteExW com verificação de assinatura e zona de origem. Mesmo assim, a Akamai aponta que a máquina da vítima já mantinha autenticação com o servidor atacante antes da validação, mantendo risco.

A Akamai informou o Communication with Microsoft Security Response Center antes da divulgação pública, justificando a omissão anterior da CVE-2026-21510.

Comentários 0

Entre na conversa da comunidade

Os comentários não representam a opinião do Portal Tela; a responsabilidade é do autor da mensagem. Conecte-se para comentar

Veja Mais