Attenzione: una vulnerabilità critica zero-click in Windows sta permettendo attacchi mirati che rubano le tue credenziali senza che tu clicchi nulla. Questa falla, derivante da una patch incompleta, è già sfruttata da hacker russi contro utenti in Ucraina e UE. Soluzione rapida: installa subito gli aggiornamenti Microsoft di aprile 2026 dal tuo Windows Update per bloccare il rischio.
In questo articolo scoprirai come funziona questa minaccia, i passi per proteggerti e dettagli tecnici per esperti. La sicurezza informatica non è mai stata così urgente: un semplice file LNK malevolo può esporre le tue password.
Il pericolo nascosto nei file di Windows
Immagina di aprire una cartella condivisa sul lavoro o scaricata da email: senza accorgertene, il tuo PC si connette a un server hacker e invia le tue credenziali di rete. Non serve cliccare link o eseguire file; basta navigare in una cartella contenente un file scorciatoia (LNK) truccato.
Gli attaccanti, un noto gruppo APT russo, hanno iniziato questa campagna a dicembre 2025 contro obiettivi in Ucraina e vari paesi UE. Hanno usato file LNK weaponizzati che sfruttano debolezze nel modo in cui Windows gestisce i collegamenti al Pannello di controllo. Il risultato? Il tuo computer autentica automaticamente verso il server nemico, esponendo hash di password utilizzabili per attacchi di relay NTLM o cracking offline.
Perché è così insidiosa? È zero-click: non richiede azioni deliberate. SmartScreen e Mark of the Web (MotW), i filtri di sicurezza di Windows Defender, vengono aggirati completamente. Microsoft ha confermato lo sfruttamento attivo e ha rilasciato una patch completa solo ad aprile 2026.
Come si diffonde l’attacco
La campagna è stata rilevata a gennaio 2026. Inizia con un file LNK che combina due vulnerabilità:
- Una falla in MSHTML per l’esecuzione iniziale.
- Un bypass di Windows Shell SmartScreen (CVSS 8.8).
Il file LNK contiene una struttura malevola chiamata LinkTargetIDList, che Windows Explorer interpreta come un elemento del Pannello di controllo. Questa struttura punta a un percorso UNC (\server-malevolo\condivisione\payload.cpl), ovvero un server remoto controllato dagli hacker.
Quando apri la cartella, explorer.exe risolve il percorso e avvia una connessione SMB. Windows tenta di verificare l’esistenza del file con PathFileExistsW, scatenando un handshake NTLM. Il tuo Net-NTLMv2 hash vola verso l’attaccante, pronto per essere usato in attacchi successivi.
Anche dopo la patch di febbraio 2026, che introduceva verifiche SmartScreen alla fine del processo, la falla persisteva all’inizio della catena: durante l’estrazione dell’icona del file.
Passi immediati per proteggerti
- Aggiorna Windows ora: Vai su Impostazioni > Aggiornamento e sicurezza > Windows Update e installa le patch di aprile 2026. Questo fixa CVE-2026-32202 (CVSS 4.3), classificata come “fallimento del meccanismo di protezione in Windows Shell”.
- Monitora il traffico SMB: Usa tool come firewall o Wireshark per bloccare connessioni outbound verso host sospetti.
- Rinforza l’autenticazione: Disabilita NTLMv2 dove possibile, passa a Kerberos puro e applica restrizioni su cartelle condivise.
- Evita LNK da fonti non fidate: Non aprire cartelle da drive di rete o email senza scansionarle con antivirus aggiornato.
- Priorità alta per sistemi non patchati: Trattali come compromessi, specialmente in ambienti enterprise.
Questa minaccia ricorda quanto siano fragili le patch incomplete: test post-fix sono essenziali per evitare sorprese.
Approfondimenti per la sicurezza aziendale
In contesti aziendali, implementa:
- Monitoraggio EDR per traffico SMB anomalo.
- Politiche GPO per bloccare CPL remoti non firmati.
- Audit regolari su condivisioni di rete.
La falla evidenzia un gap nel pipeline di Windows Shell: la risoluzione del percorso UNC avviene prima delle verifiche di trust, permettendo spoofing di rete senza privilegi elevati.
Analisi tecnica approfondita
Per esperti di cybersecurity, ecco i dettagli del meccanismo di sfruttamento.
Il cuore dell’attacco è nel namespace parsing pipeline di Windows Shell. L’LNK malevolo embedda un IDList con:
- CLSID del COM object del Pannello di controllo:
{26EE0668-A00A-44D7-9371-BEB064C98683}. - Entry per “tutti gli elementi del Pannello di controllo”.
- Struttura _IDCONTROLW con percorso UNC:
\\attacker.com\share\payload.cpl.
Parsing in explorer.exe genera un percorso risolto come:
text::{26EE0668-A00A-44D7-9371-BEB064C98683}\0\{GUID_GENERATO_DEL_UNC}
Questo forza il caricamento di una DLL remota come CPL, bypassando SmartScreen/MotW.
Patch di febbraio 2026: Introduce ControlPanelLinkSite, un nuovo COM object che integra il lancio CPL con ShellExecute. Aggiunge bit fMask (0x08000000) per invocare IVerifyingTrust, verificando firma digitale e zona di origine prima dell’esecuzione.
Analisi con tool di diff patch confermano: RCE su CPL non firmati bloccato.
Ma la falla residua (CVE-2026-32202): Persiste in CControlPanelFolder::GetUIObjectOf, chiamata per estrarre icone durante il rendering della cartella. Qui, GetModuleMapped invoca PathFileExistsW sul UNC, triggerando SMB/NTLM zero-click all’apertura della cartella.
Flusso exploit:
- Vittima apre cartella con LNK malevolo.
- Explorer parsa IDList →
PathFileExistsW(UNC). - Risoluzione UNC → Connessione SMB → Handshake NTLM → Leak hash.
Hash rubati abilitano:
- NTLM relay: Escalation privilegi su altri sistemi.
- Cracking offline: Attacchi su password deboli.
Mitigazioni avanzate:
- Blocca SMB signing requirements via GPO.
- Usa LAPS per password locali random.
- Implementa Protected Users group in AD.
- Monitora eventi 4624/4768 per logon NTLM sospetti.
Il fix di aprile 2026 risolve inserendo verifiche precoci nel parsing IDList, prevenendo la risoluzione UNC non verificata.
Questa catena di eventi, scoperta grazie ad analisi post-patch, sottolinea l’importanza di patch diffing e regression testing. In un’era di APT state-sponsored, ogni patch deve essere “bulletproof”.
Resta vigile: minacce come questa evolvono rapidamente. Mantieni sistemi aggiornati e configura difese multilayer.
Fonte: https://cybersecuritynews.com/windows-shell-security-0-click-vulnerability/
