A Akamai revelou que o patch da Microsoft para a CVE-2026-21510, que foi utilizado pelo grupo APT28, deixou uma falha zero-click ativa: a CVE-2026-32202, que consegue roubar credenciais NTLM sem qualquer interação do usuário.
Um patch liberado pela Microsoft em fevereiro de 2026 para corrigir uma vulnerabilidade explorada pelo APT28 não resolveu completamente o problema. Pesquisadores da Akamai descobriram que essa correção deixou uma nova falha, capaz de roubar credenciais de rede sem que o usuário precise fazer nada.
Essa vulnerabilidade, identificada como CVE-2026-32202, foi corrigida apenas no Patch Tuesday de abril de 2026. A Microsoft informou no comunicado que a falha já foi aproveitada em ataques reais, mas não forneceu detalhes sobre os incidentes.
### O Que o APT28 Explorou em Dezembro de 2025
O APT28, também conhecido como Fancy Bear, Forest Blizzard, ou Sofacy, conduziu uma campanha em dezembro de 2025, visando a Ucrânia e países da União Europeia. O grupo utilizou duas vulnerabilidades combinadas dentro de um único arquivo LNK, que são atalhos do Windows.
A primeira, a CVE-2026-21513, permitia manipular a forma como o navegador e o Windows Shell processam conteúdos. A segunda, a CVE-2026-21510, explorava uma fraqueza no mecanismo de namespace do shell do Windows.
Essa vulnerabilidade permitia que uma biblioteca DLL maliciosa fosse carregada a partir de um servidor remoto, utilizando um caminho UNC — um método de endereçamento de rede para acessar recursos compartilhados no Windows.
### O Que O Patch de Fevereiro Corrigiu
A Microsoft abordou a CVE-2026-21510 introduzindo um novo objeto COM chamado ControlPanelLinkSite, que atua como um intermediário entre a execução de arquivos CPL e o mecanismo de verificação de confiança do ShellExecute. Essa correção obrigava o SmartScreen a verificar a assinatura digital e a zona de origem do arquivo antes de permitir sua execução, bloqueando efetivamente a execução remota de código, embora isso não tenha sido suficiente.
### Por Que a Correção Foi Incompleta
Os testes realizados pela Akamai demonstraram que a máquina da vítima continuava a se autenticar no servidor do atacante mesmo após a aplicação do patch. A verificação de confiança introduzida pela Microsoft só era acionada em uma fase final, e o Windows Explorer já tinha estabelecido contato com o servidor remoto antes disso.
Para mostrar o ícone do item do Painel de Controle, o shell32 resolve automaticamente o caminho UNC inserido no arquivo. Isso ativa uma conexão SMB com o servidor do atacante, levando ao envio do hash Net-NTLMv2 da vítima sem qualquer interação.
### Zero-Click Sem Interação
A natureza zero-click da CVE-2026-32202 a torna particularmente ameaçadora. O usuário não precisa abrir o arquivo ou realizar qualquer ação; ao simplesmente navegar até a pasta que contém o LNK malicioso, o Windows inicia a autenticação com o atacante.
A Akamai comunicou essa descoberta ao Microsoft Security Response Center antes de divulgar os detalhes, o que explica por que a CVE-2026-21510 não foi mencionada em publicações anteriores sobre o APT28.
Acompanhe o TecMania nas redes sociais e inscreva-se na nossa newsletter para mais informações sobre segurança e tecnologia.