Dzień zerowy systemu Windows CVE-2026-32202 potwierdzony jako exploit

CVE-2026-32202 pozwala atakującym na kradzież hashy NTLMv2 z systemów Windows bez jakiejkolwiek interakcji użytkownika poza przeglądaniem folderu.

CISA nakazała agencjom federalnym załatać CVE-2026-32202, lukę w powłoce systemu Windows pozostawioną otwartą przez niekompletną poprawkę z lutego, która teraz została potwierdzona jako wykorzystana.

Darryl Linington (tłumaczenie DeepL / Ninh Duy), Opublikowany 29/04/2026 🇺🇸 🇩🇪 ...

Desktop E-Mobility Laptop / Notebook Microsoft Security Software Windows

Luka w powłoce systemu Windows załatana w tegorocznym Patch Tuesday została potwierdzona jako aktywnie wykorzystywana na wolności. CISA dodała dzisiaj CVE-2026-32202 do swojego katalogu znanych wykorzystanych luk, nakazując amerykańskim agencjom federalnym ich załatanie do 12 maja. Dziura istnieje, ponieważ poprawka Microsoftu z lutego 2026 r. dla powiązanej luki pozostawiła lukę w uwierzytelnianiu, którą od tego czasu wykorzystują atakujący.

Pierwotna luka, CVE-2026-21510, była błędem mechanizmu ochrony powłoki systemu Windows, wykorzystanym w atakach na Ukrainę i kraje UE w grudniu 2025 roku. Microsoft załatał CVE-2026-21510 w lutym i oznaczył go wówczas jako aktywnie wykorzystywany. To, czego nie zaznaczył, to fakt, że łatka pozostawiła lukę.

Jak niekompletna poprawka pozostawiła otwarte drzwi

Firma Akamai zajmująca się cyberbezpieczeństwem przeanalizowała lutową poprawkę i stwierdziła, że zablokowała ona komponent zdalnego wykonywania kodu, ale pozostawiła otwarty wektor wymuszenia uwierzytelnienia. Gdy Eksplorator Windows renderuje folder zawierający złośliwy plik skrótu LNK, automatycznie rozwiązuje dowolną ścieżkę UNC osadzoną w tym pliku. Jeśli ścieżka ta wskazuje na serwer kontrolowany przez atakującego, system Windows inicjuje połączenie SMB i wysyła hash NTLMv2 ofiary do atakującego bez konieczności otwierania lub wykonywania pliku przez ofiarę.

Zwykłe przeglądanie folderu, do którego został pobrany skrót, wystarczy, aby go uruchomić.

Ta szczątkowa luka stała się CVE-2026-32202. Microsoft załatał ją w kwietniowym Patch Tuesday 14 kwietnia, ale oznaczył ją wówczas niepoprawnie, bez flagi exploita. W dniu 27 kwietnia Microsoft zaktualizował poradnik, aby poprawić indeks możliwości wykorzystania i potwierdzić aktywne wykorzystanie. CISA dodała ją dziś do katalogu KEV.

Dlaczego wynik CVSS jest mylący

CVE-2026-32202 ma wynik CVSS 4.3, znajdując się w średnim zakresie dotkliwości. Liczba ta zaniża rzeczywiste ryzyko. Skradziony hash NTLMv2 może zostać wykorzystany w atakach przekaźnikowych do uwierzytelnienia się jako zaatakowany użytkownik w innych systemach w tej samej sieci lub złamany offline w celu odzyskania hasła w postaci zwykłego tekstu.

W praktyce łańcuch ataków daje przeciwnikowi drogę do ruchu bocznego i eskalacji uprawnień, a nie tylko ograniczonego ujawnienia informacji.

Poprawka jest zawarta w zbiorczej aktualizacji KB5083769 z kwietnia 2026 r. dla systemów Windows 11 w wersjach 24H2 i 25H2. Jest to ta sama aktualizacja, która obecnie powoduje pętle rozruchowe na podzbiorze maszyn HP i Dell. Użytkownicy, którzy jeszcze jej nie zastosowali, pozostają narażeni na potwierdzony wektor kradzieży danych uwierzytelniających bez kliknięcia. Każdy, kto już został złapany przez problem z pętlą rozruchową KB5083769, powinien postępować zgodnie ze wskazówkami Microsoftu dotyczącymi odzyskiwania przed zastosowaniem aktualizacji.

Microsoft, o dziwo, wymusza aktualizację niezarządzanych komputerów z systemem Windows 11 24H2 do wersji 25H2 przed zakończeniem wsparcia 13 października, ale KB5083769 nadal powoduje, że niektóre maszyny wpadają w niemożliwe do odzyskania pętle rozruchowe.