CISA と Microsoft の警告によると、攻撃者は被害者のシステムが攻撃者のサーバーに認証させることにつながるゼロクリック Windows Shell スプーフィング脆弱性である CVE-2026-32202 を悪用しています。
CVE-2026-32202 について
CVE-2026-32202 は CVE-2026-21510 の不完全なパッチに起因しており、この脆弱性は CVE-2026-21513 と組み合わせた場合、Windows セキュリティ機能をバイパスする武装化された LNK ファイルを経由して APT28(別称 Fancy Bear)により悪用されています。
Microsoft は 2026 年 2 月にこれら 2 つの欠陥を 修正 し、初期のリモートコード実行と SmartScreen バイパスの防止に成功しました。
しかし、Dahan によると、修正により被害者が悪質な LNK(Windows ショートカット)ファイルを開くことを控えていたとしても、被害者マシンが攻撃者のサーバーに接続することが防止されませんでした。
攻撃者のサーバーへの SMB 接続の開始は、ユーザーが LNK ファイルがダウンロードされたフォルダを開いたときに発生します(つまり、Windows Explorer がその内容をレンダリングし、ショートカットのアイコンを取得しようとしたとき)。
「このサーバーメッセージブロック(SMB)接続は自動 NTLM 認証ハンドシェイクをトリガーし、被害者の Net-NTLMv2 ハッシュを攻撃者に送信します。これは後で NTLM リレー攻撃とオフラインクラッキングに使用される可能性があります」と、Dahan は 説明しました。
CVE-2026-32202 は、サポート対象の Windows 10、11、および Windows Server バージョンの範囲に影響を与えます。
不完全な修正、不完全な状況
Akamai の発見は、パッチが発行されてからシステムが実際に保護されるまでの危険なギャップを強調しています。
ベンダーがパッチ時に脆弱性を積極的に悪用されているとしてフラグを立てることに失敗した場合、そのリスクは悪化します。これはまさにここで起こったことです。Microsoft は 2026 年 4 月 14 日に CVE-2026-32202 の修正プログラムをリリースしましたが、これを悪用されているものとしてマークしませんでした。つまり、セキュリティチームはこれを緊急に処理する必要があるという正式な信号を持っていませんでした。
CISA と Microsoft による積極的な悪用の確認はそれから 2 週間以上後に来ました。
組織は Microsoft の 4 月 14 日パッチを適用する必要があります(まだ適用していない場合)。可能な場合は、ネットワーク周辺での送信 SMB トラフィックをブロックすると、NTLM 強制攻撃へのエクスポージャーも制限されます。
翻訳元: https://www.helpnetsecurity.com/2026/04/29/windows-cve-2026-32202-exploited/
