Windows SmartScreenとWindowsシェルのセキュリティプロンプトバイパスの不完全なパッチが、ゼロクリック攻撃を可能にする新しいバグを生成したとAkamaiが報告しています。
CVE-2026-21510として追跡される初期の脆弱性は、2月にパッチされ、攻撃者が被害者に悪意あるショートカットファイルを開くよう説得できた場合、リモートコード実行(RCE)のために悪用される可能性がありました。
Microsoftは当時、この欠陥がゼロデイとして悪用されていることを警告しましたが、観察された攻撃の詳細は提供しませんでした。
現在、Akamaiは述べていますロシア関連のAPT28、別名Fancy Bear、Forest Blizzard、GruesomeLarch、およびSofacyが、CVE-2026-21510を悪用した攻撃で、同様に2月にパッチされたMSHTMLフレームワークのセキュリティ機能バイパスであるCVE-2026-21513も対象にしていたことを。
「攻撃者は、リンク、メール添付ファイル、またはダウンロードを通じて配信される悪意あるHTMLファイルまたはショートカット(.lnk)ファイルを開くようユーザーを説得することで、この脆弱性を悪用できます。特別に作成されたファイルはブラウザとWindowsシェルの処理を操作し、コンテンツがオペレーティングシステムによって実行されるようにします」と、Microsoftはそのアドバイザリで説明しています。
Akamaiは2月下旬のCVE-2026-21513の悪用をAPT28に属性付けしましたが、CVE-2026-21510には言及しませんでした。それは以前に不完全なパッチを発見していたためです。
適切なパッチの欠如は、CVE-2026-32202として追跡される新しい脆弱性をもたらしたと述べています。これはユーザー操作なしで悪用され、自動解析されるLNKファイルを介して認証情報を盗むことができる認証強制脆弱性です。
「その後、不完全なパッチを発見し、Microsoftに開示しました。新しい脆弱性CVE-2026-32202は、被害者がユーザー操作なしに攻撃者のサーバに認証するようにさせます(ゼロクリック)」と、Akamaiは述べています。
Microsoftは2026年4月のパッチの一部としてCVE-2026-32202の修正をリリースしました。そのアドバイザリはセキュリティの欠陥に悪用されたものとしてフラグを立てていますが、観察された攻撃の詳細は提供していません。
Akamaiによると、これらの脆弱性は2025年12月にAPT28によって悪用された可能性が高く、攻撃はウクライナと欧州連合の国を対象としていました。
キャンペーンの一部として、APTはCVE-2026-21513とCVE-2026-21510をチェーンした兵器化されたLNKファイルを使用して、Windowsのセキュリティ機能をバイパスし、リモートコード実行(RCE)を達成しました。
「APT28はWindowsシェルの名前空間解析メカニズムを活用して、UNCパスを使用してリモートサーバからダイナミックリンクライブラリ(DLL)をロードしています。DLLは適切なネットワークゾーン検証なしでコントロールパネル(CPL)オブジェクトの一部としてロードされます」と、Akamaiは説明しています。
2月にロールアウトされたパッチの分析は、RCEパスはファイルのデジタル署名と発信元ゾーンのSmartScreen検証を強制することで軽減されましたが、「被害者のマシンは依然として攻撃者のサーバに認証していた」ことを明かしました。
問題は、信頼検証がチェーンの終わりの呼び出し中に動作し、チェーンの前段階を見落とすことだと、Akamaiは述べています。
悪意あるLNKファイルを含むフォルダの内容をレンダリングする場合、Windows ExplorerはUNCパスからアイコンをフェッチするようshell32に要求し、ユーザー操作なしで攻撃者のサーバへのサーバメッセージブロック(SMB)接続をトリガーします。
「接続は自動的なNTLM認証ハンドシェイクをトリガーし、被害者のNet-NTLMv2ハッシュを攻撃者に送信し、それは後でNTLMリレー攻撃やオフラインクラッキングに使用できます」と、Akamaiは述べています。
翻訳元: https://www.securityweek.com/incomplete-windows-patch-opens-door-to-zero-click-attacks/
