A Microsoft atualizou esta semana seu aviso sobre uma falha de segurança no Windows Shell - CVE-2026-32202 - e confirmou que já está sendo explorada no mundo real. Embora a pontuação CVSS oficial seja moderada, a importância prática desta falha reside no seu papel dentro de uma cadeia de exploração e na facilidade com que pode converter arquivos aparentemente inofensivos em vetores de roubo de credenciais sem interação do usuário.
Em termos técnicos, a vulnerabilidade é uma A verificação de confiança falhou ao resolver as rotas UNC, o que permite que um acesso automático a um recurso remoto (por exemplo, um arquivo .cpl carregado pelo mecanismo do Windows Shell através de um acesso SMB) desencadeie uma ligação SMB saliente da máquina vítima para um servidor controlado pelo atacante. Essa conexão provoca um intercâmbio NTLM que pode filtrar o hash Net-NTLMv2 do usuário, exploável depois através de relays ou ataques offline. Na prática, esta dinâmica reapareceu após um adesivo parcial aplicado previamente a CVE-2026-21510, e segundo pesquisadores vincula a campanha com o grupo APT28 (Fancy Bear).
O padrão de abuso que descrevem os descubridores combina arquivos LNK (acessos diretos) que ativam a resolução de nomes no espaço de nomes da Shell e, por sua vez, a carga de um DLL/CPL a partir de um recurso UMC remoto. A grande ameaça não foi tanto a correr código remoto direto, mas o roubo de credenciais que facilita movimento lateral e ataques posteriores. Isto explica por que actores com capacidades e objectivos específicos, como o APT28, incorporaram estas técnicas em campanhas destinadas a objectivos na Ucrânia e na União Europeia.
Para organizações e administradores, as implicações operacionais são claras: o adesivo é condição necessária, mas não suficiente. A Microsoft já corrigiu a falha no adesivo mensal mais recente, pelo que a primeira ação obrigatória é aplicar as atualizações de segurança em todos os endpoints e servidores afetados. Além disso, é conveniente validar que os adesivos foram correctamente implantados e rever os indicadores de vulnerabilidade no seu inventário de adesivos. Você pode consultar o guia de segurança da Microsoft para este CVE e atualizações relacionadas na página oficial do Microsoft Security Response Center: Microsoft Security Response Center.
Além do adesivo, existem medidas defensivas que reduzem tanto a probabilidade como o impacto deste tipo de abuso. Entre as mais eficazes estão a restrição do tráfego SMB cessante para a Internet (bloquear TCP/445 a partir de estações de trabalho e servidores que não necessitem de se comunicar externamente), a habilitação e exigência de SMB signing onde aplique, a configuração de políticas de grupo que impeçam a resolução automática de rotas UNC a partir de ambientes inseguros e a desactivação de serviços desnecessários que possam resolver recursos remotos. Também é recomendável aumentar o uso de autenticação forte e multifator para mitigar o valor de hashes eventualmente capturados.
Em matéria de detecção, as equipes de segurança devem prestar atenção a eventos de autenticação NTLM inesperados para domínios externos, tentativas de resolução UNC para hosts fora da rede e execução vinculada a cargas CPL ou acessos diretos LNK. Os produtos EDR/MDR devem bloquear ou alertar sobre a carga dinâmica de DLLs de origens remotas e sobre padrões de atividade típicos de relays NTLM. Os fornecedores e equipamentos internos começaram a publicar análises técnicas; para entender a pesquisa original e seu contexto técnico, você pode consultar a análise e blog de pesquisa da indústria no site de Akamai: Akamai Security Blog.
Finalmente, esta série de falhas destaca uma lição recorrente: as mitigações parciais podem deixar vetores residuais que atores sofisticados encadeiam com outras vulnerabilidades. A defesa moderna exige adesivos completos, segmentação de rede, endurecimento de protocolos de autenticação e monitoramento contínuo. Audite seus controles de saída SMB, valide a configuração de SmartScreen e outras protecções de origem, e trate os hashes NTLM como credenciais de alto risco: asuma que, se exposto, exigirão rotação e medidas compensatórias imediatas.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...