Kritična 0-click ranjivost forsiranja autentifikacije, praćena kao CVE-2026-32202, nastala iz nepotpune ispravke zaobilaženja sigurnosne funkcije Windows Shell-a koju aktivno koristi ruska APT28 grupa pretnji.

Majkrosoft je potvrdio aktivnu eksploataciju greške i objavio ispravku kao deo ažuriranja April 2026 Patch Tuesday.

Prema CERT-UA, APT28 akteri pretnji, poznati i kao Fancy Bear, Forest Blizzard i Pawn Storm, pokrenuli su usmerenu kampanju kibernapada protiv Ukrajine i nekoliko zemalja EU u decembru 2025. godine, koristeći zlonameru LNK (Windows Shortcut) datoteku.

Istraživači Akamai-a detektovali su kampanju u januaru 2026. godine, praćeći vektor infekcije do dva povezane ranjivosti: CVE-2026-21513 (MSHTML eksploit) i CVE-2026-21510 (zaobilaženje Windows Shell SmartScreen-a sa CVSS skorom od 8.8).

Windows Shell 0-Click ranjivost korišćena

Primarni mehanizam napada zloupotreba Windows Shell namespace parsing pipeline-a. APT28 je ugradio zlonameru LinkTargetIDList strukturu unutar LNK datoteke, binarnu IDList koju Windows Explorer analizira i prikazuje, slično kako se prikazuju stavke Control Panel-a.

Konceptualni tok CVE-2026-21510 eksploatacije (izvor: akamai)
Konceptualni tok CVE-2026-21510 eksploatacije (izvor: akamai)

IDList je sadržavao tri ključne komponente: CLSID koji predstavlja Control Panel COM objekat, drugi unos za "sve stavke control panel-a" i treću _IDCONTROLW strukturu koja ugrađuje UNC putanju koja pokazuje na udaljeni server napadača.

Kada je explorer.exe žrtve analizirao ovu LNK datoteku, razrešio je zlonamerni put kao:

tekst::{26EE0668-A00A-44D7-9371-BEB064C98683}\0\{GENERATED GUID OF THE UNC PATH}

Ovo je prouzrokovalo da Windows učita DLL sa servera kontrolisanog od strane napadača tretiranog kao Control Panel (CPL) komponenta bez pokretanja SmartScreen ili Mark of the Web (MotW) verifikacije.

Majkrosoft je adresirao CVE-2026-21510 tokom februara 2026. Patch Tuesday, uvodeći novi COM objekat nazvan ControlPanelLinkSite koji povezuje CPL putanju pokretanja sa ShellExecute trust verification pipeline-om.

Ispravka je uvela novi fMask bit (0x08000000) koji prisiljavaju ShellExecute pipeline da upita IVerifyingTrust, što u krajnjoj liniji pokretanjem SmartScreen verifikacije CPL datoteke digitalne signature i origin zone pre izvršavanja.

Koristeći svoju PatchDiff-AI analitičku alatku, Akamai je potvrdio da ispravka uspešno blokira RCE vektor — nepotpisane ili udaljene CPL-ove više nisu tiho izvršavane.

Međutim, istraživači Akamai-a su primetili nešto kritično: mašina žrtve je i dalje autentifikovana na serveru napadača čak i nakon što je ispravka primenjena.

Trust verifikacija koju je uveo Majkrosoft se pokreće tokom ShellExecuteExW poziva na kraju CPL launch lanaca. Ali mnogo raniji pokretač postoji u CControlPanelFolder::GetUIObjectOf — funkcija koju Windows Explorer poziva da izvuče ikonu za CPL IDList stavku pri prikazivanju sadržaja foldera.

Duboko u ovom lancu, PathFileExistsW poziv u GetModuleMapped prouzrokuje da Windows razreši UNC putanju i inicijalizuje SMB konekciju na server napadača čim se folder koji sadrži zlonameru LNK datoteku otvori — bez potrebe za klikanjem korisnika.

Kada se UNC putanja razreši (npr. \\attacker.com\share\payload.cpl), Windows automatski pokretanjem NTLM autentifikacijski rukovanje, prenoseći Net-NTLMv2 heš žrtve serveru napadača.

Ova akreditacija može kasnije biti korišćena za NTLM relay napade ili offline password cracking bez bilo kakve korisnike interakcije izvan navigacije do kompromitovanog foldera.

Ova preostala greška je klasifikovana kao CVE-2026-32202 (CVSS: 4.3), zvanično opisana kao "neuspeh mehanizma zaštite u Windows Shell-u" koji omogućava neovlašćenom napadaču da sprovede spoofing preko mreže

Organizacije treba da primene Microsoft-ove April 2026 Patch Tuesday ažuriranja odmah kako bi ispravile CVE-2026-32202. Security timovi trebali bi takođe da nadgledaju odlazni SMB promet ka spoljnim domaćinima i primene NTLMv2 ograničenja ili pređite na Kerberos-only autentifikaciju gde je moguće.

S obzirom da je Majkrosoft označio ovu ranjivost kao aktivno eksploatisanu, odbrana trebalo da tretira neispravne sisteme kao pristup visokog prioriteta, posebno u okruženjima gde LNK datoteke prelaze deljene foldere ili mrežne diskove.

Ovaj incident služi kao oštar podsećač da nepotpune ispravke mogu uvesti sekundarne napade.

Jaz između razrešavanja putanje i verifikacije poverenja u Windows Shell pipeline-u, prvi put eksploatisana od strane APT28 pa kasnije otkrivena od strane Akamai-a, podcrta neophodnost temeljitog patch diffing-a i post-fix regression testiranja pre nego što se ranjivost označi kao potpuno otklonjena.

Pratite nas na Google News, LinkedIn i X za dnevne ažuriranja sajber bezbednosti. Kontaktirajte nas da biste prikazali svoje priče.