A CISA e a Microsoft confirmaram a exploração ativa da vulnerabilidade CVE-2026-32202 no Windows Shell. A falha permite que sistemas afetados realizem autenticação automática em servidores controlados por atacantes, sem necessidade de interação do usuário.
Os sistemas operacionais afetados pela vulnerabilidade são Windows 10, Windows 11 e Windows Server.
Origem da vulnerabilidade
A CVE-2026-32202 é resultado de uma correção incompleta da CVE-2026-21510. Essa falha anterior, combinada com a CVE-2026-21513, havia sido explorada pelo grupo APT28 por meio de arquivos LNK maliciosos.
Esses arquivos eram utilizados para contornar mecanismos de segurança do Windows. Em fevereiro de 2026, a Microsoft corrigiu essas vulnerabilidades, bloqueando a execução remota de código e o bypass do SmartScreen.
Apesar disso, a correção não impediu completamente a comunicação entre o sistema da vítima e o servidor do atacante.
Funcionamento do ataque
Segundo análise da Akamai, o ataque pode ser iniciado quando o usuário acessa a pasta onde o arquivo LNK foi salvo. Durante a renderização do conteúdo, o Windows Explorer tenta carregar o ícone do atalho.
Esse processo aciona automaticamente uma conexão SMB com o servidor controlado pelo invasor. Como parte dessa conexão, ocorre um processo de autenticação NTLM.
Durante esse handshake, o sistema envia o hash Net NTLMv2 da vítima ao servidor remoto. Esse dado pode ser utilizado posteriormente em ataques de relay NTLM ou em tentativas de quebra offline.
Correção e exploração ativa
A Microsoft disponibilizou uma atualização de segurança para a CVE-2026-32202 em 14 de abril de 2026. No entanto, a vulnerabilidade não foi classificada inicialmente como explorada ativamente.
Porém, a confirmação de exploração ativa foi divulgada posteriormente pela CISA e pela própria Microsoft, mais de duas semanas após a liberação do patch.
Ou seja caros leitores(a) a descoberta da Akamai evidencia a diferença entre a disponibilização de uma correção e a mitigação completa do risco em ambientes reais.
Impacto
A vulnerabilidade permite a exposição de credenciais em ambientes Windows sem necessidade de execução direta de arquivos maliciosos. O comportamento ocorre durante operações comuns do sistema, como navegação em diretórios.
Esse tipo de exploração amplia a superfície de ataque, especialmente em ambientes corporativos onde o compartilhamento de arquivos é frequente.
