CISA Exige Correção Urgente de Falha Zero-Click no Windows Explorada por Grupo Russo
A agência americana de cibersegurança incluiu a CVE-2026-32202 no catálogo de vulnerabilidades ativamente exploradas e deu prazo de duas semanas para agências federais aplicarem o patch. A brecha, herdada de uma correção incompleta da Microsoft, permite roubo silencioso de credenciais sem nenhuma ação do usuário.
Alerta Federal: Brecha no Windows Exige Resposta Imediata
A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) incluiu a vulnerabilidade CVE-2026-32202 em seu catálogo oficial de falhas conhecidas e ativamente exploradas — o chamado KEV (Known Exploited Vulnerabilities Catalog) — e determinou que todas as agências do Poder Executivo Federal americano apliquem a correção disponibilizada pela Microsoft até 12 de maio de 2026. O prazo de duas semanas segue a Diretriz Operacional Vinculante 22-01, que obriga órgãos governamentais a reagir com agilidade a ameaças confirmadas em ambientes reais.
Uma Correção que Não Corrigiu o Suficiente
O ponto de partida da CVE-2026-32202 é, ele próprio, revelador: a falha não surgiu do zero, mas da remediação incompleta de vulnerabilidades anteriores, a CVE-2026-21510 e a CVE-2026-21513, que a Microsoft havia corrigido em fevereiro de 2026. Pesquisadores identificaram, contudo, que o patch lançado à época deixava uma janela aberta — a máquina da vítima continuava estabelecendo conexões com servidores controlados por atacantes mesmo após a instalação da atualização. O resultado foi uma nova CVE derivada do mesmo vetor de ataque original.
O mecanismo técnico é sofisticado na sua simplicidade: ao processar automaticamente arquivos de atalho LNK presentes em uma pasta, o Windows Explorer dispara uma conexão SMB em direção a um caminho UNC (Universal Naming Convention) controlado pelo adversário — e faz isso sem que o usuário precise clicar em nada, abrir nenhum programa ou aprovar qualquer ação. Essa conexão, por sua vez, desencadeia um handshake de autenticação NTLM automático que envia o hash Net-NTLMv2 da vítima diretamente ao atacante. Com esse hash em mãos, o criminoso pode realizar ataques de retransmissão NTLM para se mover lateralmente pela rede corporativa ou tentar a quebra offline da credencial capturada.
O Rastro do APT28
Embora a Microsoft tenha declarado não ter evidências que vinculem diretamente o APT28 à exploração da CVE-2026-32202 até o momento, o histórico recente do grupo russo coloca a falha em perspectiva preocupante. O APT28 — também rastreado pelos nomes Fancy Bear, Forest Blizzard e Sofacy — explorou as vulnerabilidades predecessoras em dezembro de 2025 em campanhas direcionadas a alvos na Ucrânia e na União Europeia. Naquelas operações, o grupo utilizou arquivos LNK armados que encadeavam as CVEs anteriores para contornar proteções do Windows e comprometer sistemas de interesse geopolítico. A adição da nova CVE ao KEV da CISA indica que atores de ameaça — identificados ou não — já estão tirando proveito ativo da falha em ambientes de produção.
O Que Fazer Agora
Para organizações fora do escopo federal americano, o alerta da CISA funciona como sinal de prioridade máxima: a Microsoft disponibilizou o patch correspondente e sua aplicação imediata é a principal linha de defesa. Equipes de segurança devem também auditar políticas de autenticação NTLM no ambiente, considerar a adoção de proteções contra retransmissão de credenciais e monitorar conexões SMB de saída inesperadas — indicadores comportamentais consistentes com tentativas de exploração da CVE-2026-32202. O episódio reforça um padrão já conhecido: correções parciais podem, paradoxalmente, criar uma falsa sensação de segurança e abrir caminho para explorações sofisticadas por atores com recursos e paciência para encontrar as lacunas que sobram.
Fonte original: CISO Advisor — CISA ordena correção de falha zero-click do Windows
Discussão no X
Intensidade da discussão: alta