Dia zero do Windows CVE-2026-32202 confirmado como explorado

O CVE-2026-32202 permite que os invasores roubem hashes NTLMv2 de sistemas Windows sem qualquer interação do usuário além da navegação em uma pasta.

A CISA ordenou que os órgãos federais corrigissem a CVE-2026-32202, uma falha de clique zero no Windows Shell deixada em aberto por uma correção incompleta em fevereiro, agora confirmada como explorada.

Darryl Linington (traduzido por DeepL / Ninh Duy), Publicado 04/29/2026 🇺🇸 🇪🇸

Uma vulnerabilidade do Windows Shell corrigida na Patch Tuesday deste mês foi confirmada como ativamente explorada na natureza. A CISA adicionou a CVE-2026-32202 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas hoje, ordenando que as agências federais dos EUA façam a correção até 12 de maio. A falha existe porque a correção da Microsoft em fevereiro de 2026 para uma vulnerabilidade relacionada deixou uma lacuna de autenticação que os invasores têm usado desde então.

A falha original, CVE-2026-21510, foi uma falha no mecanismo de proteção do Windows Shell explorada em ataques contra a Ucrânia e países da UE em dezembro de 2025. A Microsoft corrigiu a CVE-2026-21510 em fevereiro e a marcou como ativamente explorada na época. O que ela não sinalizou foi que a correção deixou uma lacuna.

Como a correção incompleta deixou uma porta aberta

A empresa de segurança cibernética Akamai analisou o patch de fevereiro e descobriu que a correção bloqueava o componente de execução remota de código, mas deixava um vetor de coerção de autenticação aberto. Quando o Windows Explorer renderiza uma pasta que contém um arquivo de atalho LNK mal-intencionado, ele resolve automaticamente qualquer caminho UNC incorporado a esse arquivo. Se esse caminho apontar para um servidor controlado por um invasor, o Windows inicia uma conexão SMB e envia o hash NTLMv2 da vítima para o invasor sem que a vítima precise abrir ou executar o arquivo.

Basta navegar na pasta em que o atalho foi baixado para que ele seja acionado.

Essa lacuna residual tornou-se CVE-2026-32202. A Microsoft corrigiu esse problema no Patch Tuesday de abril, em 14 de abril, mas o marcou incorretamente na ocasião, sem sinalização de exploração. Em 27 de abril, a Microsoft atualizou o aviso para corrigir o índice de explorabilidade e confirmar a exploração ativa. A CISA a adicionou ao catálogo KEV hoje.

Por que a pontuação CVSS é enganosa

O CVE-2026-32202 tem uma pontuação CVSS de 4,3, situando-se na faixa de gravidade média. Esse número subestima o risco real. O hash NTLMv2 roubado roubado pode ser usado em ataques de retransmissão para se autenticar como o usuário comprometido em outros sistemas na mesma rede ou ser quebrado off-line para recuperar a senha em texto simples.

Na prática, a cadeia de ataque oferece ao adversário um caminho para o movimento lateral e o aumento de privilégios, e não apenas uma divulgação limitada de informações.

A correção está incluída na atualização cumulativa KB5083769 de abril de 2026 para as versões 24H2 e 25H2 do Windows 11. Essa é a mesma atualização que atualmente causa loops de inicialização em um subconjunto de máquinas HP e Dell. Os usuários que ainda não a aplicaram continuam expostos a um vetor confirmado de roubo de credenciais com clique zero. Qualquer pessoa já afetada pelo problema do loop de inicialização KB5083769 deve seguir as orientações de recuperação da Microsoft antes de aplicar a atualização.

A Microsoft está, estranhamente, forçando o upgrade pCs com Windows 11 24H2 não gerenciados para 25H2 antes do fim do suporte em 13 de outubro, mas a atualização KB5083769 ainda está fazendo com que algumas máquinas entrem em loops de inicialização irrecuperáveis.