A Akamai revelou que o patch da Microsoft para a CVE-2026-21510, que foi utilizado pelo grupo APT28, deixou uma falha zero-click ativa: a CVE-2026-32202, que consegue roubar credenciais NTLM sem qualquer intera\u00e7\u00e3o do usu\u00e1rio.<\/p>\n
Um patch liberado pela Microsoft em fevereiro de 2026 para corrigir uma vulnerabilidade explorada pelo APT28 n\u00e3o resolveu completamente o problema. Pesquisadores da Akamai descobriram que essa corre\u00e7\u00e3o deixou uma nova falha, capaz de roubar credenciais de rede sem que o usu\u00e1rio precise fazer nada.<\/p>\n
Essa vulnerabilidade, identificada como CVE-2026-32202, foi corrigida apenas no Patch Tuesday de abril de 2026. A Microsoft informou no comunicado que a falha j\u00e1 foi aproveitada em ataques reais, mas n\u00e3o forneceu detalhes sobre os incidentes.<\/p>\n
### O Que o APT28 Explorou em Dezembro de 2025<\/p>\n
O APT28, tamb\u00e9m conhecido como Fancy Bear, Forest Blizzard, ou Sofacy, conduziu uma campanha em dezembro de 2025, visando a Ucr\u00e2nia e pa\u00edses da Uni\u00e3o Europeia. O grupo utilizou duas vulnerabilidades combinadas dentro de um \u00fanico arquivo LNK, que s\u00e3o atalhos do Windows.<\/p>\n
A primeira, a CVE-2026-21513, permitia manipular a forma como o navegador e o Windows Shell processam conte\u00fados. A segunda, a CVE-2026-21510, explorava uma fraqueza no mecanismo de namespace do shell do Windows.<\/p>\n
Essa vulnerabilidade permitia que uma biblioteca DLL maliciosa fosse carregada a partir de um servidor remoto, utilizando um caminho UNC \u2014 um m\u00e9todo de endere\u00e7amento de rede para acessar recursos compartilhados no Windows.<\/p>\n
### O Que O Patch de Fevereiro Corrigiu<\/p>\n
A Microsoft abordou a CVE-2026-21510 introduzindo um novo objeto COM chamado ControlPanelLinkSite, que atua como um intermedi\u00e1rio entre a execu\u00e7\u00e3o de arquivos CPL e o mecanismo de verifica\u00e7\u00e3o de confian\u00e7a do ShellExecute. Essa corre\u00e7\u00e3o obrigava o SmartScreen a verificar a assinatura digital e a zona de origem do arquivo antes de permitir sua execu\u00e7\u00e3o, bloqueando efetivamente a execu\u00e7\u00e3o remota de c\u00f3digo, embora isso n\u00e3o tenha sido suficiente.<\/p>\n
### Por Que a Corre\u00e7\u00e3o Foi Incompleta<\/p>\n
Os testes realizados pela Akamai demonstraram que a m\u00e1quina da v\u00edtima continuava a se autenticar no servidor do atacante mesmo ap\u00f3s a aplica\u00e7\u00e3o do patch. A verifica\u00e7\u00e3o de confian\u00e7a introduzida pela Microsoft s\u00f3 era acionada em uma fase final, e o Windows Explorer j\u00e1 tinha estabelecido contato com o servidor remoto antes disso.<\/p>\n
Para mostrar o \u00edcone do item do Painel de Controle, o shell32 resolve automaticamente o caminho UNC inserido no arquivo. Isso ativa uma conex\u00e3o SMB com o servidor do atacante, levando ao envio do hash Net-NTLMv2 da v\u00edtima sem qualquer intera\u00e7\u00e3o.<\/p>\n
### Zero-Click Sem Intera\u00e7\u00e3o<\/p>\n
A natureza zero-click da CVE-2026-32202 a torna particularmente amea\u00e7adora. O usu\u00e1rio n\u00e3o precisa abrir o arquivo ou realizar qualquer a\u00e7\u00e3o; ao simplesmente navegar at\u00e9 a pasta que cont\u00e9m o LNK malicioso, o Windows inicia a autentica\u00e7\u00e3o com o atacante. <\/p>\n
A Akamai comunicou essa descoberta ao Microsoft Security Response Center antes de divulgar os detalhes, o que explica por que a CVE-2026-21510 n\u00e3o foi mencionada em publica\u00e7\u00f5es anteriores sobre o APT28.<\/p>\n
Acompanhe o TecMania nas redes sociais e inscreva-se na nossa newsletter para mais informa\u00e7\u00f5es sobre seguran\u00e7a e tecnologia.<\/p>\n","protected":false},"excerpt":{"rendered":"
A Akamai revelou que o patch da Microsoft para a CVE-2026-21510, que foi utilizado pelo grupo APT28, deixou uma falha […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[12],"tags":[],"class_list":["post-6135","post","type-post","status-publish","format-standard","hentry","category-seguranca"],"_links":{"self":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/6135","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/comments?post=6135"}],"version-history":[{"count":0,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/posts\/6135\/revisions"}],"wp:attachment":[{"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/media?parent=6135"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/categories?post=6135"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/tecmania.com.br\/blog\/wp-json\/wp\/v2\/tags?post=6135"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}