Новая уязвимость в Windows: неудачное исправление привело к атакам

Корпорация Microsoft совместно с Агентством по кибербезопасности и защите инфраструктуры США (CISA) предупредила о критической уязвимости в операционной системе Windows. Брешь позволяет злоумышленникам получать доступ к конфиденциальным данным пользователей без какого-либо взаимодействия с их стороны.

Детали инцидента и реакция властей

Уязвимости присвоен идентификатор CVE-2026-32202. Проблема заключается в механизме принудительной аутентификации в Windows Shell, который позволяет атакующим перехватывать данные через подмену сетевых запросов. По официальному заявлению Microsoft, эксплуатация данной ошибки уже зафиксирована в реальных условиях. В связи с этим CISA внесла уязвимость в каталог активно используемых угроз и обязала государственные ведомства США установить обновления безопасности до 12 мая.

Причины возникновения проблемы

Исследователи из компании Akamai, обнаружившие данную брешь, отмечают, что текущая проблема стала следствием неполного исправления предыдущей уязвимости CVE-2026-21510. В феврале Microsoft выпустила патч для устранения ряда критических ошибок, однако обновление оказалось недостаточно эффективным.

• Первоначальная уязвимость CVE-2026-21510 активно использовалась хакерской группировкой APT28 (известной как Fancy Bear) для атак на государственные структуры Украины и стран Евросоюза.
• Злоумышленники использовали фишинговые рассылки, имитирующие письма от гидрометеорологических центров, для запуска вредоносных LNK-файлов.
• Комбинирование нескольких уязвимостей позволяло хакерам обходить систему защиты Microsoft Defender SmartScreen и выполнять произвольный код на компьютерах жертв.

Механизм атаки

Специалисты по кибербезопасности установили, что даже после установки февральских обновлений уязвимые системы продолжали отправлять данные аутентификации на серверы злоумышленников. Уязвимость типа «zero-click» (не требующая действий от пользователя) позволяет атакующим реализовать следующую схему:

• Перехват Net-NTLMv2-хеша (данных для проверки подлинности пользователя).
• Авторизация в системе от имени скомпрометированного пользователя.
• Кража конфиденциальной информации и расширение доступа внутри локальной сети.

Эксперты поясняют, что разрыв между разрешением путей доступа к файлам и проверкой доверия к ним создает лазейку для кражи учетных данных через автоматически обрабатываемые LNK-файлы. Пользователям настоятельно рекомендуется незамедлительно установить актуальные обновления безопасности Windows.