Нулевой день в Windows CVE-2026-32202 подтвержден как эксплуатируемый

Уязвимость Windows Shell, исправленная во вторник патчей этого месяца, была подтверждена как активно эксплуатируемая в дикой природе. Сегодня CISA добавила CVE-2026-32202 в свой каталог известных эксплуатируемых уязвимостей, предписав федеральным агентствам США провести исправление до 12 мая. Этот недостаток существует потому, что исправление связанной с ним уязвимости, выпущенное Microsoft в феврале 2026 года, оставило брешь в аутентификации, которой с тех пор пользуются злоумышленники.

Первоначальный дефект, CVE-2026-21510, представлял собой сбой в механизме защиты Windows Shell, использовавшийся в атаках на Украину и страны ЕС в декабре 2025 года. Microsoft исправила CVE-2026-21510 в феврале и тогда же пометила его как активно эксплуатируемый. Но компания не отметила, что патч оставил брешь.

Как неполное исправление оставило дверь открытой

Компания Akamai, специализирующаяся на кибербезопасности проанализировала февральский патч и обнаружила, что исправление блокировало компонент удаленного выполнения кода, но оставляло открытым вектор принуждения к аутентификации. Когда Проводник Windows отображает папку, содержащую вредоносный файл ярлыка LNK, он автоматически разрешает любой UNC-путь, встроенный в этот файл. Если этот путь указывает на контролируемый злоумышленником сервер, Windows инициирует SMB-соединение и отправляет хэш NTLMv2 жертвы злоумышленнику без необходимости открывать или исполнять файл.

Для этого достаточно просто просмотреть папку, в которую был загружен ярлык.

Этот остаточный пробел превратился в CVE-2026-32202. Microsoft исправила его в апрельском Patch Tuesday 14 апреля, но в то время пометила его неверно, без флага эксплуатации. 27 апреля Microsoft обновила рекомендацию, чтобы исправить индекс эксплуатируемости и подтвердить активную эксплуатацию. Сегодня CISA добавила его в каталог KEV.

Почему оценка CVSS вводит в заблуждение

CVE-2026-32202 имеет CVSS-оценку 4,3, находясь в диапазоне средней серьезности. Это число занижает реальный риск. Украденный хэш NTLMv2 может быть использован в ретрансляционных атаках для аутентификации скомпрометированного пользователя на других системах в той же сети или взломан в автономном режиме для восстановления пароля в открытом тексте.

На практике цепочка атак дает противнику путь к латеральному перемещению и повышению привилегий, а не просто к ограниченному раскрытию информации.

Исправление включено в накопительное обновление KB5083769 от 2026 апреля для Windows 11 версий 24H2 и 25H2. Это то самое обновление, которое в настоящее время вызывает зацикливание загрузки на ряде машин HP и Dell. Пользователи, которые еще не применили это обновление, по-прежнему подвержены подтвержденному вектору кражи учетных данных с помощью нулевого клика. Всем, кто уже столкнулся с проблемой зацикливания загрузки KB5083769, следует следовать рекомендациям Microsoft по восстановлению перед применением обновления.

Microsoft, как ни странно, принудительно обновляет неуправляемые ПК с Windows 11 24H2 на 25H2 до окончания поддержки 13 октября, но KB5083769 все еще отправляет некоторые машины в невосстанавливаемые циклы загрузки.