Microsoft potvrdio aktivnu zloupotrebu Windows Shell ranjivosti
Microsoft je ažurirao savetodavni tekst za CVE-2026-32202 i potvrdio da se Windows Shell ranjivost aktivno zloupotrebljava. Propust je zakrpljen u aprilskom Patch Tuesday paketu, a opisan je kao spoofing ranjivost koja napadaču može omogućiti pristup osetljivim informacijama. Prema Akamai istraživaču koji je prijavio problem, ranjivost je povezana sa nepotpunom zakrpom za raniji Windows Shell propust CVE-2026-21510 i može dovesti do automatskog slanja Net-NTLMv2 hash-a napadaču preko SMB konekcije. Microsoft nije objavio detalje o aktivnoj zloupotrebi, ali je ispravio oznake u savetodavnom tekstu, uključujući informaciju da je ranjivost već korišćena u napadima.
Nezgodan deo ove ranjivosti je što kompromitacija ne mora da izgleda kao klasično pokretanje malwarea. Ako posebno pripremljen LNK fajl navede Windows da automatski kontaktira napadačev server, dovoljno je da kredencijalni trag, poput Net-NTLMv2 hash-a, izađe iz organizacije i kasnije bude upotrebljen za relay napade ili offline pokušaje razbijanja.
- Primijeniti aprilski Microsoft Patch Tuesday paket na sve Windows sisteme
- Blokirati ili strogo ograničiti odlazni SMB saobraćaj ka internetu
- Pratiti pokušaje NTLM autentifikacije prema nepoznatim spoljnim serverima
- Posebno proveriti rukovanje LNK fajlovima koji stižu kroz email, chat i deljene foldere
- U okruženjima visokog rizika smanjiti oslanjanje na NTLM i pojačati monitoring za credential relay scenarije