- Patch de fevereiro de 2026 para a CVE-2026-21510 não resolveu a vulnerabilidade adicional, a CVE-2026-32202, que permite roubo de credenciais NTLM sem interação do usuário; a correção chegou apenas no Patch Tuesday de abril de 2026.
- APT28 (Fancy Bear) conduziu, em dezembro de 2025, uma campanha contra a Ucrânia e países da União Europeia, explorando um arquivo LNK com duas falhas: CVE-2026-21513 e CVE-2026-21510.
- A CVE-2026-32202 facilita a captura de hash Net-NTLMv2 da vítima quando o Windows Explorer acessa um caminho UNC contido no LNK, sem prompts de segurança.
- A correção de fevereiro torrou o SmartScreen apenas na verificação final, mas a máquina da vítima ainda fazia autenticação com o servidor do atacante durante a renderização inicial do conteúdo.
- A Akamai informou o Microsoft Security Response Center sobre a descoberta antes da divulgação pública; a falha já foi explorada em ataques reais, e o patch completo ficou disponível em abril de 2026.
A Akamai informou que o patch da Microsoft, lançado em fevereiro de 2026 para corrigir a CVE-2026-21510 explorada pelo grupo APT28, não eliminou por completo a vulnerabilidade. A segunda falha, identificada como CVE-2026-32202, permanece ativa e permite roubo de credenciais NTLM sem qualquer interação do usuário.
Investigação da Akamai aponta que a CVE-2026-32202 foi corrigida apenas no Patch Tuesday de abril de 2026. A Microsoft reconheceu em nota que a falha já havia sido explorada em ataques reais, sem detalhar incidentes.
Contexto da exploração do APT28
Em dezembro de 2025, o APT28 — também conhecido como Fancy Bear, Forest Blizzard e Sofacy — realizou uma campanha contra a Ucrânia e países da União Europeia. O grupo utilizou dois alvos no arquivo LNK para entregar código malicioso.
O ataque se valeu de uma dupla vulnerabilidade: CVE-2026-21513 no MSHTML e CVE-2026-21510 no shell do Windows. O arquivo LNK manipulava o Windows Explorer para carregar uma DLL maliciosa a partir de um servidor remoto via UNC, sem verificação de segurança.
Modo de operação e falha de proteção
O fluxo envolve o envio de um atalho que aciona o Painel de Controle a partir de um servidor controlado pelo invasor, sem que o SmartScreen detecte a ameaça. A falha permissão a execução remota sem validação, abrindo caminho para exploração.
A correção de fevereiro introduziu o objeto COM ControlPanelLinkSite para impedir a execução sem confirmação. Ainda assim, a verificação de confiança ocorria apenas no final da cadeia, após o acesso inicial ao servidor remoto.
Consequências técnicas
A conexão SMB é estabelecida automaticamente, causando handshake de autenticação NTLM. Como resultado, o hash Net-NTLMv2 da vítima é enviado ao atacante sem qualquer clique, viabilizando ataques de relay ou quebra de senhas offline.
O que muda com a atualização de abril
A correção de abril encerra a chamada final do ShellExecuteExW com verificação de assinatura e zona de origem. Mesmo assim, a Akamai aponta que a máquina da vítima já mantinha autenticação com o servidor atacante antes da validação, mantendo risco.
A Akamai informou o Communication with Microsoft Security Response Center antes da divulgação pública, justificando a omissão anterior da CVE-2026-21510.
Entre na conversa da comunidade