Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Niekompletne poprawki bezpieczeństwa należą do najgroźniejszych problemów w praktyce cyberbezpieczeństwa, ponieważ tworzą fałszywe poczucie usunięcia zagrożenia. W najnowszym przypadku dotyczącym systemu Windows wcześniejsza aktualizacja nie zamknęła całego łańcucha eksploatacji związanego z obsługą plików skrótów LNK, mechanizmami Windows Shell oraz SmartScreen.
W efekcie badacze opisali nową podatność oznaczoną jako CVE-2026-32202. Umożliwia ona atak typu zero-click prowadzący do wymuszenia uwierzytelnienia NTLM i przechwycenia skrótu Net-NTLMv2 bez świadomej interakcji użytkownika.
W skrócie
Problem wynika z tego, że wcześniejsza poprawka usunęła główną ścieżkę zdalnego wykonania kodu, ale pozostawiła aktywny etap inicjowania połączenia do zdalnego zasobu SMB. Samo wyświetlenie katalogu zawierającego spreparowany plik LNK może wystarczyć, aby system rozpoczął komunikację z serwerem kontrolowanym przez atakującego.
- dotknięty został mechanizm obsługi skrótów LNK w Windows,
- atak może działać w modelu zero-click,
- celem jest przechwycenie skrótu Net-NTLMv2,
- zagrożenie może wspierać dalsze ataki relay, ruch lateralny i eskalację wpływu w sieci.
Kontekst / historia
Punktem wyjścia była podatność CVE-2026-21510, załatana przez Microsoft w lutym 2026 roku. Błąd dotyczył obejścia zabezpieczeń Windows SmartScreen i komponentów Windows Shell, a jego wykorzystanie wiązano z kampaniami przypisywanymi grupie APT28, znanej także jako Fancy Bear, Forest Blizzard, Sofacy czy GruesomeLarch.
Równolegle obserwowano wykorzystanie CVE-2026-21513, czyli obejścia zabezpieczeń w MSHTML. Połączenie tych słabości tworzyło praktyczny łańcuch ataku, który w wybranych scenariuszach pozwalał na osiągnięcie zdalnego wykonania kodu. Analiza wdrożonej poprawki wykazała jednak, że mimo zablokowania głównego skutku część logiki odpowiedzialnej za odwołanie do zasobu zdalnego nadal pozostawała aktywna.
Według ustaleń badaczy aktywność powiązana z tym łańcuchem była obserwowana już w grudniu 2025 roku i miała dotyczyć celów w Ukrainie oraz państwach Unii Europejskiej. To kolejny przykład, że zaawansowane grupy APT skutecznie łączą kilka pozornie odrębnych słabości w jeden efektywny wektor operacyjny.
Analiza techniczna
Techniczny rdzeń problemu dotyczy sposobu, w jaki Explorer i Windows Shell parsują zawartość katalogu z plikiem LNK odwołującym się do zasobu zdalnego poprzez ścieżkę UNC. W trakcie przetwarzania przestrzeni nazw powłoki system może próbować pobrać ikonę lub inny powiązany element z serwera zewnętrznego.
Microsoft wzmocnił wcześniej walidację pochodzenia pliku oraz egzekwowanie kontroli SmartScreen dla podpisu cyfrowego i strefy pochodzenia. Problem polegał jednak na tym, że zabezpieczenie zadziałało zbyt późno w łańcuchu przetwarzania. Zanim doszło do pełnej walidacji, system nadal był w stanie zainicjować połączenie SMB do hosta wskazanego przez atakującego.
To zachowanie prowadzi do tzw. authentication coercion. W praktyce system automatycznie rozpoczyna handshake NTLM, co może ujawnić skrót Net-NTLMv2. Nie jest to bezpośrednie RCE, ale bardzo wartościowy etap pośredni, który może zostać wykorzystany do ataków NTLM relay lub do prób łamania poświadczeń offline.
Kluczowe znaczenie ma tu specyfika plików LNK. Skróty Windows od lat stanowią atrakcyjny nośnik nadużyć, ponieważ są głęboko zintegrowane z interfejsem systemu, eksploratorem plików oraz mechanizmami renderowania ikon i metadanych. Gdy taki mechanizm łączy się z automatycznym uwierzytelnianiem do zasobów sieciowych, ryzyko rośnie nawet bez uruchamiania klasycznego złośliwego oprogramowania.
Konsekwencje / ryzyko
Najpoważniejszą konsekwencją jest możliwość pozyskania materiału uwierzytelniającego bez klasycznego działania użytkownika, takiego jak otwarcie dokumentu czy kliknięcie załącznika. Wystarczające może być dostarczenie pliku do lokalizacji, którą ofiara lub system jedynie wyświetli.
Przechwycony skrót Net-NTLMv2 może zostać wykorzystany do dalszych działań ofensywnych, zwłaszcza w środowiskach, które nadal szeroko używają NTLM i dopuszczają niekontrolowany ruch SMB.
- ataków NTLM relay przeciwko podatnym usługom,
- ruchu lateralnego w sieci domenowej,
- profilowania uprzywilejowanych kont,
- łączenia z innymi podatnościami dla uzyskania szerszego dostępu,
- pogłębienia skutków incydentu w słabo segmentowanych środowiskach.
Ryzyko jest szczególnie wysokie tam, gdzie ruch wychodzący SMB nie jest filtrowany, a polityki ograniczające NTLM nie zostały wdrożone. Incydent pokazuje również, że sama instalacja oficjalnej poprawki nie zawsze oznacza pełne usunięcie zagrożenia.
Rekomendacje
Organizacje powinny potraktować ten przypadek jako argument za podejściem wielowarstwowym, łączącym aktualizacje, segmentację, kontrolę protokołów oraz monitoring zachowań systemowych. Kluczowe znaczenie ma zarówno szybkie wdrażanie poprawek, jak i weryfikacja, czy rzeczywiście eliminują one cały wektor ataku.
- wdrożenie aktualnych aktualizacji bezpieczeństwa Microsoft dla systemów Windows,
- ograniczenie lub wyłączenie NTLM tam, gdzie to możliwe,
- blokowanie ruchu SMB wychodzącego do Internetu i niezaufanych segmentów,
- monitorowanie połączeń UNC inicjowanych przez Explorer i komponenty powłoki,
- filtrowanie oraz izolowanie plików LNK dostarczanych z niezaufanych źródeł,
- stosowanie detekcji dla prób pobierania ikon lub bibliotek DLL z podejrzanych ścieżek sieciowych,
- audyt polityk związanych z Mark-of-the-Web, strefami zaufania i udziałami sieciowymi,
- korelacja telemetrii z Explorera, Shell32, SMB i logów uwierzytelniania w systemach SOC.
W środowiskach podwyższonego ryzyka warto dodatkowo przeprowadzać kontrolowane testy odporności, aby sprawdzić reakcję rozwiązań EDR, systemów proxy i mechanizmów blokowania ruchu na podobne scenariusze.
Podsumowanie
Przypadek CVE-2026-32202 pokazuje, że niekompletna poprawka może stworzyć nową klasę zagrożenia nawet wtedy, gdy pierwotny wektor został częściowo zablokowany. W tym scenariuszu usunięto drogę do pełnego RCE, ale pozostawiono możliwość cichego wymuszenia uwierzytelnienia wobec serwera kontrolowanego przez atakującego.
Dla zespołów bezpieczeństwa to ważna lekcja: skuteczne zarządzanie podatnościami nie kończy się na wdrożeniu łatki. Równie istotne są analiza pozostałości po exploicie, walidacja skuteczności remediacji oraz ograniczanie protokołów i mechanizmów, które umożliwiają dalsze nadużycia po stronie przeciwnika.