Patch incompleto da Microsoft expõe Windows a nova falha zero-click explorada pelo APT28

Um remendo que deixou a ferida aberta

Quando a Microsoft lançou seu pacote de correções de fevereiro de 2026, a expectativa era de que o capítulo da CVE-2026-21510 estivesse encerrado. A falha, que permitia execução remota de código por meio de arquivos de atalho (.lnk) manipulados, havia sido explorada ativamente pelo grupo de espionagem russo APT28 — também conhecido como Fancy Bear — em ataques direcionados à Ucrânia e a nações da União Europeia no início do ano. A correção oficial interrompeu o vetor de execução de código e o bypass do Microsoft Defender SmartScreen. O problema é que ela não fechou a porta completamente.

A CVE-2026-32202 e o ataque sem clique

Pesquisadores da Akamai, liderados pelo analista Maor Dahan, identificaram que o patch de fevereiro corrigiu apenas parte da cadeia de exploração. Permaneceu ativa uma falha de coerção de autenticação classificada como CVE-2026-32202 — um vetor zero-click, ou seja, que não exige nenhuma ação deliberada da vítima para ser acionado. O mecanismo é sutil e tecnicamente elegante na sua malícia: quando o Windows Explorer renderiza uma pasta contendo um arquivo LNK com caminho de ícone forjado, o sistema operacional solicita automaticamente esse recurso via protocolo UNC, disparando uma conexão SMB com o servidor do atacante. Nesse processo, o hash Net-NTLMv2 da vítima é transmitido silenciosamente — sem pop-up, sem confirmação, sem nenhum sinal visível ao usuário. Segundo a Akamai, a verificação de confiança implementada pelo patch original só era acionada em uma etapa posterior da cadeia de execução, deixando descoberto um estágio anterior que continuava autenticando na máquina do adversário.

Credenciais comprometidas e janela de risco

O impacto prático da CVE-2026-32202 vai além do roubo isolado de um hash. Com o Net-NTLMv2 em mãos, um atacante dispõe de material suficiente para conduzir ataques de relay NTLM — redirecionando a autenticação capturada para outros sistemas da rede — ou para tentar a quebra offline da senha por força bruta ou dicionário. Em ambientes corporativos com políticas de senhas fracas ou reutilização de credenciais, o comprometimento pode se alastrar lateralmente com relativa facilidade. O fato de a falha ser zero-click amplifica consideravelmente o risco: basta que um arquivo LNK malicioso esteja presente em uma pasta acessível — seja por compartilhamento de rede, anexo de e-mail ou mídia removível — para que o ataque se concretize no momento em que o Explorer renderizar o diretório.

Resposta da Microsoft e recomendações

A Microsoft reconheceu a falha e incluiu a correção da CVE-2026-32202 no Patch Tuesday de abril de 2026, marcando-a como explorada em seus avisos de segurança oficiais. Administradores de sistemas que aplicaram o patch de fevereiro mas não atualizaram para o ciclo de abril permanecem expostos. A recomendação imediata é aplicar todas as atualizações pendentes do Windows — em especial as do mês de abril de 2026 —, além de revisar políticas de autenticação NTLM, considerar a habilitação do SMB Signing obrigatório em ambientes corporativos e monitorar conexões SMB de saída inesperadas. O episódio reacende o debate sobre a eficácia dos processos internos de validação de patches da Microsoft e reforça a importância de testes de regressão de segurança após cada correção liberada para falhas ativamente exploradas por atores de ameaça sofisticados.

Fonte original: TecMundo — Mesmo após correção, Windows ainda esconde vulnerabilidade grave. Corroborado por SecurityWeek e The Register.