A Windows nulladik napja CVE-2026-32202 megerősítette, hogy kihasználva van

A CVE-2026-32202 lehetővé teszi a támadók számára, hogy a Windows rendszerekből ellopják az NTLMv2 hash-eket anélkül, hogy a mappák böngészésén túl bármilyen felhasználói beavatkozásra lenne szükség.

A CISA utasította a szövetségi ügynökségeket, hogy javítsák ki a CVE-2026-32202 CVE-t, a Windows Shell nulladik kattintásos hibáját, amelyet egy hiányos februári javítás hagyott nyitva, és amelyről most megerősítést nyert, hogy kihasználják.

Darryl Linington (fordította DeepL / Ninh Duy), Közzétett 04/29/2026 🇺🇸 🇩🇪 ...

Desktop E-Mobility Laptop / Notebook Microsoft Security Software Windows

Az e havi Patch Tuesday-ben javított Windows Shell sebezhetőséget megerősítették, hogy aktívan kihasználják a vadonban. A CISA a mai napon a CVE-2026-32202-es kódot is felvette az Ismert, kihasználható sebezhetőségek katalógusába, és utasította az amerikai szövetségi ügynökségeket, hogy május 12-ig javítsák ki. A hiba azért létezik, mert a Microsoft 2026-os februári javítása egy kapcsolódó sebezhetőségre egy hitelesítési rést hagyott, amelyet a támadók azóta is kihasználnak.

Az eredeti hiba, a CVE-2026-21510 a Windows Shell védelmi mechanizmusának hibája volt, amelyet 2025 decemberében Ukrajna és uniós országok elleni támadásokban használtak ki. A Microsoft februárban javította a CVE-2026-21510-et, és akkor aktívan kihasználhatónak jelölte meg. Azt viszont nem jelezte, hogy a javítás hézagot hagyott.

Hogyan hagyott nyitva egy ajtót a hiányos javítás

Az Akamai kiberbiztonsági cég elemezte a februári javítást, és megállapította, hogy a javítás blokkolta a távoli kódfuttatási komponenst, de nyitva hagyott egy hitelesítési kényszerítési vektort. Amikor a Windows Explorer megjelenít egy rosszindulatú LNK parancsikonfájlt tartalmazó mappát, automatikusan feloldja a fájlba ágyazott UNC elérési utat. Ha ez az útvonal egy támadó által ellenőrzött kiszolgálóra mutat, a Windows SMB-kapcsolatot kezdeményez, és elküldi az áldozat NTLMv2 hash-adatát a támadónak anélkül, hogy az áldozatnak meg kellene nyitnia vagy végre kellene hajtania a fájlt.

Elég, ha csak a mappát böngészi, ahonnan a parancsikont letöltötték, és máris elindul.

Ez a fennmaradó rés a CVE-2026-32202 lett. A Microsoft az áprilisi Patch Tuesday április 14-i foltozásában javította, de akkor helytelenül jelölte meg, kihasználási jelző nélkül. Április 27-én a Microsoft frissítette a tanácsadást, hogy javítsa a kihasználhatósági mutatót és megerősítse az aktív kihasználást. A CISA ma hozzáadta a KEV katalógushoz.

Miért félrevezető a CVSS pontszám

A CVE-2026-32202 CVSS pontszáma 4,3, ami a közepes súlyossági tartományban helyezkedik el. Ez a szám alábecsüli a valós kockázatot. Az ellopott NTLMv2 hash felhasználható relé-támadásokban a veszélyeztetett felhasználóként történő hitelesítésre az ugyanazon a hálózaton lévő más rendszereken keresztül, vagy feltörhető offline a tisztaszöveges jelszó visszaszerzésére.

A gyakorlatban a támadási lánc a támadónak nem csak korlátozott információközléshez, hanem oldalirányú mozgáshoz és a jogosultságok kiterjesztéséhez is útvonalat biztosít.

A javítást a Windows 11 24H2 és 25H2 verziójú Windows 11 operációs rendszerekhez készült 2026. áprilisi KB5083769 kumulatív frissítés tartalmazza. Ez ugyanaz a frissítés, amely jelenleg a HP és Dell gépek egy részhalmazán a rendszerindítási hurkokat okozza. Azok a felhasználók, akik még nem alkalmazták a javítást, továbbra is ki vannak téve a hitelesítő adatok megerősített, zéró kattintással történő ellopásának. Aki már érintett a KB5083769 rendszerindítási hurok problémájában, kövesse a Microsoft helyreállítási útmutatóját, mielőtt alkalmazza a frissítést.

A Microsoft furcsa módon, kényszerfrissítést hajt végre a oldalon a nem felügyelt Windows 11 24H2 PC-ket 25H2-re a támogatás október 13-i lejárta előtt, de a KB5083769 még mindig helyrehozhatatlan boot loopokba taszít néhány gépet.