Home  >  Безопасность / Коротко

CVE-2026-32202: утечка Net-NTLMv2 через Windows Shell при обработке LNK (zero-click)

aside

Published date

Кратко. Уязвимость в Windows Shell приводит к принудительной аутентификации на удалённый ресурс при разборе LNK/namespace-объектов. Система инициирует SMB-сеанс и отправляет Net-NTLMv2 хеш без действий пользователя. Эксплуатация подтверждена, исправление включено в апрельский пакет обновлений.

Компонент и тип

  • Компонент: Windows Shell (namespace parsing, обработка LNK/CPL)
  • Класс: Spoofing / Forced Authentication
  • Идентификатор: CVE-2026-32202
  • Предпосылка: наличие LNK с UNC-путём на контролируемый атакующим ресурс

Вектор атаки

  1. Атакующий размещает полезную нагрузку (CPL/DLL) на удалённом SMB-ресурсе.
  2. В LNK указывается UNC-путь (\\host\share\payload.cpl).
  3. При автоматическом разборе объекта Windows Shell инициирует подключение к \\host по SMB.
  4. До валидации доверия источника выполняется NTLM-аутентификация → на сервер уходит Net-NTLMv2.
  5. Хеш перехватывается и используется для:
    • NTLM relay к другим сервисам;
    • офлайн-брутфорса/крэкинга.

Свойство zero-click: эксплуатация возможна без явного открытия файла пользователем (достаточно факта обработки LNK оболочкой).

Причина

Неполное исправление предыдущей уязвимости (февральский патч) устранило риск RCE для CPL (проверки SmartScreen/зоны), но не изменило порядок операций: аутентификация по UNC выполнялась до оценки доверия источника. Это сохраняло канал принудительной аутентификации.

Связанные уязвимости

  • CVE-2026-21510 — исходный RCE-вектор в Shell (частично закрыт ранее).
  • CVE-2026-21513 — MSHTML, использовалась в цепочках для обхода сетевых ограничений.

Воздействие

  • Конфиденциальность: компрометация учетных данных (утечка Net-NTLMv2).
  • Целостность/доступность: напрямую не затрагиваются.
  • Риск: средний по CVSS (~4.3), но повышается в доменных средах и при наличии внутренних сервисов, уязвимых к relay.

Обнаружение

  • Исходящие SMB-сессии к нетипичным/внешним хостам.
  • Аномальные NTLM-аутентификации (частые/фантомные попытки).
  • Логи EDR/IDS с триггером на доступ к UNC из контекста Explorer/Shell.
  • Сетевые сигнатуры NTLM relay.

Митигирование

  • Установка апрельских обновлений безопасности (исправление CVE-2026-32202).
  • Ограничение/отключение NTLM (где возможно), переход на Kerberos.
  • Блокировка исходящего SMB (445/TCP) к недоверенным адресам.
  • Включение SMB signing и политик отказа от неподписанных сеансов.
  • Фильтрация LNK/вложений из недоверенных источников; контроль сетевых путей в ярлыках.
  • Мониторинг и алертинг по NTLM-аутентификации и SMB-трафику.

Вывод

Уязвимость демонстрирует типичную проблему порядка проверок: сетевое соединение и NTLM-аутентификация инициируются до валидации доверия источника. Даже при устранении RCE остаётся практичный канал утечки учетных данных без взаимодействия пользователя.

Ссылки:

  1. 3DNews: Microsoft подтвердила, что уязвимость Windows позволяет красть пароли без единого клика
  2. Microsoft MSRC: Windows Shell Spoofing Vulnerability
  3. NIST: CVE-2026-32202 Detail

Поделиться ссылкой:

Tags:

Related Posts