セキュリティ修復内での見落としが、意図せずに新しい悪用の道を切り開いてしまいました。開発者はAPT28グループによって悪用されたリモートコード実行の欠陥を成功裏に中和しましたが、ユーザーとのやり取りがまったくなく認証情報の流出を容易にする二次的な脆弱性を残してしまいました。
Akamaiのセキュリティ研究者は、Windowsエコシステム内でCVE-2026-21510が修正された後も、被害者のワークステーションを強制的に攻撃者のサーバーとの接続を自動的に確立させる潜在的なメカニズムが残存していることを発見しました。CVE-2026-32202として分類されるこの新たな欠陥は手動操作を必要とせず、悪意あるアーティファクトを含むディレクトリに移動するだけで攻撃が発動します。
このキャンペーンはFancy Bear脅威グループによって編成されており、2025年後半に注意深く作成されたWindowsショートカットを使用して複数のヨーロッパ諸国を攻撃しました。これらのLNKファイルはCVE-2026-21513およびCVE-2026-21510を含む一連の脆弱性を引き起こし、攻撃者がシステム防御を回避して遠隔リポジトリから悪意あるペイロードを取得できるようにしました。
ファイルは無害に見えましたが、Windowsエクスプローラープロセスをリモートリソースをコントロールパネル要素として扱うように強制する特殊な内部構造を秘めていました。その結果、システムはソースの出所を確認したり、ユーザーに警告を発することなく、攻撃者のサーバーからライブラリをロードしようとしました。
2026年2月、マイクロソフトは実行前にファイルの出所を分析するための検証レイヤーを組み込みセキュリティフレームワーク内に導入するパッチを配布しました。表面的には、署名されていない疑わしいコンポーネントが実行から除外されたため、問題は解決したように見えました。しかし、この検証は実行シーケンスの遅い段階で行われます。システムが検証段階に達するころには、すでに悪意あるサーバーとの接続を開始しています。
侵害されたショートカットを含むフォルダを開くだけで、Windowsエクスプローラーがそのアイコンをレンダリングしようとします。このまさにその時点で、Windowsはネットワークプロトコルを介してリモートリソースと自動的にインターフェースし、このプロセスで認証テレメトリを送信します。この静かな交換が行われている間、ユーザーは完全に気づかないままです。
その結果、攻撃者はNet-NTLMv2認証情報ハッシュを取得します。これらのアーティファクトはセッションハイジャッキングやブルートフォース攻撃によるパスワード発見などの後続の侵入に活用できます。開発者は正式にこの状況に通知されており、脆弱性は公式に認識されています。
