Microsoft обновила рекомендации по безопасности, признав, что уязвимость Windows Shell с идентификатором CVE-2026-32202 уже используется в реальных атаках.
Уязвимость имеет оценку CVSS 4.3 и относится к классу spoofing. Она позволяет злоумышленнику получить доступ к чувствительным данным. Исправление было выпущено в рамках апрельского обновления Patch Tuesday.
Суть проблемы заключается в сбое механизма защиты Windows Shell, который позволяет атакующему выполнять подмену данных по сети. Для эксплуатации требуется отправить пользователю вредоносный файл и добиться его открытия.
27 апреля 2026 года Microsoft пересмотрела параметры уязвимости, включая флаг эксплуатации и вектор CVSS, так как первоначальные данные от 14 апреля оказались некорректными.
Исследователь безопасности Маор Дахан, обнаруживший проблему, отметил, что уязвимость связана с неполным исправлением CVE-2026-21510. В результате осталась возможность атаки без взаимодействия пользователя, связанная с принудительной аутентификацией и утечкой учетных данных.
Ранее CVE-2026-21510 уже использовалась в атаках, в том числе в связке с CVE-2026-21513. Эти уязвимости применялись группой APT28 (также известной как Fancy Bear) в составе цепочки эксплуатации.
CVE-2026-21510 позволяет обходить защитные механизмы Windows Shell, а CVE-2026-21513 затрагивает компонент MSHTML и также дает возможность обхода защит. Обе уязвимости были закрыты Microsoft в феврале 2026 года.
Несмотря на это, оставшийся дефект в обработке путей и проверке доверия привел к появлению нового вектора атаки. Он связан с автоматической обработкой LNK-файлов и может использоваться для кражи учетных данных без необходимости действий со стороны пользователя.
Источник: HN