マイクロソフトと米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、攻撃者がゼロクリックのWindows脆弱性を悪用して、脆弱なシステムの機密情報を露出させる可能性があると警告しました。
CVE-2026-32202として追跡されているこの脆弱性を誰が攻撃しているのかは不明ですが、プーチンの手下である可能性が高いと考えられます。この欠陥は、ロシアのスパイによって発見および悪用された以前の脆弱性の不完全な修正に由来するもので、Redmondが修正プログラムをリリースする1か月前のものです。
新しいバグであるCVE-2026-32202は、Windows Shellの認証強制脆弱性であり、ネットワークスプーフィングを介して脆弱なシステムの機密情報を露出させる可能性があります。Redmondは4月14日にCVEを公開する際に、「この脆弱性を正常に悪用した攻撃者は、機密情報の一部を表示することができる」と警告しました。
月曜日、Windowsの巨人はこのバグを「悪用が検出された」とマークしました。翌日、CISAはCVE-2026-32202を既知の悪用された脆弱性カタログに追加し、連邦機関がこの欠陥を修正するための期限を5月12日に設定しました。
The Registerはマイクロソフトに悪用の範囲、攻撃の責任者、および不正アクセスで何をしているのかについて問い合わせました。応答を受け取った場合、このストーリーを更新します。
マイクロソフトはAkamai上級セキュリティ研究者Maor Dahanに、CVE-2026-32202の発見と報告を信用しており、Dahanの記述では、CVE-2026-21510の不完全なパッチが新しい脆弱性を生成したと述べています。
RedmondはCVE-2026-21510を2月にパッチしようとしました。それはその月のパッチチューズデーで公開された6つのアクティブに悪用されている0日脆弱性の1つであり、AkamaiはロシアのAPT28(Fancy Bearとしても知られている)が1月にそのセキュリティホールを悪用しているのを検出しました。
Akamaiによると、ウクライナのコンピュータ緊急対応チームを引用して、APT28はCVE-2026-21510をウクライナおよび欧州連合諸国への攻撃で悪用しました。
これらの攻撃は、ウクライナの水文気象センターからのものと称するフィッシングメールで始まりました。これには別の脆弱性CVE-2026-21513を悪用するための武器化されたLNKファイルが含まれていました。CVE-2026-21513とCVE-2026-21510を連鎖させることで、ロシアのスパイはDefender SmartScreenを含むマイクロソフトのセキュリティ機能を迂回し、被害者のコンピュータで悪意のあるコードをリモート実行しました。
マイクロソフトは2月のパッチチューズデーでこれら両方のCVEを修正しました。
しかし、「マイクロソフトの修正は、初期のリモートコード実行(RCE)とSmartScreenバイパスの防止に成功しましたが、ゼロクリック認証強制脆弱性が残っていた」とDahanは書いており、彼と彼の同僚のAkamai버그ハンターが2月のパッチをテストしている間にCVE-2026-32202を発見したと付け加えています。
「パッチをテストしている間、私たちは興味深いことに気づきました。被害者のマシンは依然として攻撃者のサーバーに認証していました」と彼は述べました。
Dahanが説明するように、このセキュリティホールは被害者のNet-NTLMv2ハッシュ(認証データ)を攻撃者に送信するために悪用される可能性があり、デジタル侵入者がユーザーとして認証し、機密データを盗み、被害者のネットワークを探索することができます。
「パス解決と信頼検証の間のこのギャップは、自動解析されたLNKファイルを介したゼロクリック認証情報盗難ベクトルを残した」と彼は書きました。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/04/29/microsoft_zero_click_exploit/
