Уязвимость CVE‑2026‑32202 в Windows: Microsoft подтвердила атаки

Уязвимость CVE‑2026‑32202 в Windows

Компания Microsoft обновила предупреждение о серьёзной уязвимости в оболочке Windows — теперь официально подтверждено, что ею уже активно пользуются злоумышленники. Разберёмся, в чём суть проблемы и чем она грозит пользователям.

Что за уязвимость?

Речь идёт о бреши с идентификатором CVE‑2026‑32202 (оценка по шкале CVSS — 4,3). Это уязвимость типа spoofing (подмены), которая позволяет злоумышленнику получить доступ к конфиденциальным данным.

Microsoft исправила проблему в рамках ежемесячного обновления «Patch Tuesday», но сначала допустила неточности в описании. 27 апреля 2026 года компания уточнила:

• индекс возможности эксплуатации (Exploitability Index);

• флаг эксплуатации (Exploited flag);

• вектор CVSS.

Первоначальная информация была опубликована 14 апреля 2026 года.

Как работает атака?

По данным Microsoft, проблема связана с сбоем механизма защиты в оболочке Windows. Это даёт злоумышленнику возможность провести атаку с подменой данных через сеть. Для реализации атаки нужно:

1. Отправить жертве вредоносный файл.

2. Добиться, чтобы пользователь его запустил.

Что может сделать злоумышленник:

• получить доступ к части конфиденциальной информации;

• не может изменять полученные данные;

• не может полностью блокировать доступ к ресурсам.

Связь с другими уязвимостями

Исследователь безопасности Maor Dahan из Akamai, обнаруживший проблему, пояснил: уязвимость CVE‑2026‑32202 возникла из‑за неполного исправления другой бреши — CVE‑2026‑21510 (оценка CVSS — 8,8).

Эту уязвимость использовала российская хакерская группа APT28 (известная также как Fancy Bear, Forest Blizzard, Gruesome Larch и Pawn Storm) в связке с CVE‑2026‑21513. Обе бреши были закрыты Microsoft в феврале 2026 года.

Кратко о связанных уязвимостях:

• CVE‑2026‑21510. Сбой механизма защиты в Windows Shell, позволяющий злоумышленнику обойти меры безопасности через сеть.

• CVE‑2026‑21513. Аналогичная проблема в MSHTML Framework — тоже даёт возможность обхода защиты через сеть (оценка CVSS — 8,8).

Как проходила атака на практике

В декабре 2025 года APT28 провела кампанию против целей в Украине и странах ЕС, используя:

• вредоносный ярлык Windows (LNK‑файл);

• комбинацию уязвимостей CVE‑2026‑21510 и CVE‑2026‑21513;

• обход защиты Microsoft Defender SmartScreen.

Схема атаки:

1. Злоумышленники использовали механизм обработки пространств имён оболочки Windows для загрузки DLL‑библиотеки с удалённого сервера через путь UNC (Universal Naming Convention).

2. Библиотека загружалась как часть объектов Control Panel (CPL) без должной проверки сетевой зоны.

3. Патч от февраля 2026 года частично исправил проблему: он добавил проверку цифровой подписи и зоны происхождения CPL‑файла через SmartScreen.

4. Но оставалась лазейка: компьютер жертвы всё равно мог автоматически подключаться к серверу злоумышленника через SMB (Server Message Block), даже без действий пользователя.

5. При подключении запускалась аутентификация NTLM, в ходе которой жертва отправляла злоумышленнику хеш Net‑NTLMv2.

6. Этот хеш можно использовать для:

   • атак с ретрансляцией NTLM;

   • взлома пароля в офлайн‑режиме.

Почему проблема не была решена сразу?

Хотя Microsoft закрыла изначальную уязвимость удалённого выполнения кода (CVE‑2026‑21510), остался пробел между разрешением пути и проверкой доверия. Это создавало вектор кражи учётных данных без участия пользователя — через автоматически обрабатываемые LNK‑файлы.

Что делать пользователям?

Чтобы защититься от подобных атак:

• установите последние обновления Windows — патч для CVE‑2026‑32202 уже выпущен;

• будьте осторожны с файлами от неизвестных отправителей — особенно с ярлыками (.lnk);

• убедитесь, что Microsoft Defender и SmartScreen включены и работают;

• используйте надёжное антивирусное ПО;

• регулярно обновляйте систему — это закрывает новые уязвимости до того, как ими начнут активно пользоваться.

Будьте бдительны: киберпреступники постоянно ищут слабые места в ПО. Своевременное обновление системы и осторожность с подозрительными файлами — лучшая защита от современных угроз.