CVE-2026-32202: la vulnerabilità di Windows Shell sotto attacco attivo

CVE-2026-32202: la vulnerabilità di Windows Shell sotto attacco attivo

Introduzione per utenti non tecnici

Microsoft ha scoperto che una falla di sicurezza nel sistema operativo Windows è stata utilizzata da attaccanti per rubare informazioni sensibili. La vulnerabilità, identificata come CVE-2026-32202, rappresenta un rischio concreto per gli utenti che non hanno ancora installato gli ultimi aggiornamenti di sicurezza.

La soluzione immediata è semplice: aggiorna Windows il prima possibile. Se hai ricevuto una notifica di aggiornamento di sistema, non ignorarla. Questo aggiornamento include la correzione per questa falla di sicurezza.

Microsoft ha ufficialmente riconosciuto che questa vulnerabilità è stata sfruttata attivamente da malintenzionati. Sebbene il rischio sia moderato, è importante comprendere di cosa si tratta e come proteggersi.

Cos’è CVE-2026-32202?

CVE-2026-32202 è una vulnerabilità di spoofing in Windows Shell che consente a un attaccante di accedere a informazioni sensibili. La falla è stata corretta da Microsoft come parte dell’aggiornamento di sicurezza mensile (Patch Tuesday) di aprile 2026.

Secondo l’avviso di sicurezza di Microsoft, “un meccanismo di protezione difettoso in Windows Shell consente a un attaccante non autorizzato di eseguire spoofing su una rete.” Un attaccante dovrebbe inviare alla vittima un file dannoso che quest’ultima dovrebbe eseguire.

Come funziona l’attacco

L’attacco sfrutta un file di collegamento Windows (LNK) dannoso. Quando l’utente interagisce con questo file, il sistema operativo tenta di risolvere il percorso del file. Se il percorso punta a un server controllato dall’attaccante, Windows inizia automaticamente una connessione SMB (Server Message Block) senza richiedere ulteriori azioni all’utente.

Durante questa connessione, il computer della vittima esegue automaticamente un handshake di autenticazione NTLM, inviando un hash NTLMv2 al server dell’attaccante. Questo hash può quindi essere utilizzato per:

  • Attacchi NTLM relay
  • Cracking offline della password
  • Accesso non autorizzato ad altre risorse di rete

Il contesto: CVE-2026-21510 e CVE-2026-21513

CVE-2026-32202 non è un incidente isolato. È strettamente collegata a due vulnerabilità precedenti che Microsoft ha corretto a febbraio 2026:

CVE-2026-21510 (CVSS score: 8.8) – Un difetto nel meccanismo di protezione di Windows Shell che consente a un attaccante di bypassare una funzione di sicurezza sulla rete.

CVE-2026-21513 (CVSS score: 8.8) – Un difetto nel framework MSHTML che consente a un attaccante di bypassare una funzione di sicurezza sulla rete.

Un gruppo di hacker russo noto come APT28 (anche chiamato Fancy Bear, Forest Blizzard, GruesomeLarch e Pawn Storm) ha utilizzato entrambe queste vulnerabilità insieme come parte di una catena di exploit coordinata.

La campagna di attacco

Nel dicembre 2025, APT28 ha condotto una campagna mirata contro l’Ucraina e le nazioni dell’Unione Europea. Gli attaccanti hanno utilizzato file di collegamento Windows dannosi per sfruttare le vulnerabilità e bypassare Microsoft Defender SmartScreen, permettendo l’esecuzione di codice controllato dall’attaccante.

Secondo il ricercatore di sicurezza Maor Dahan di Akamai, che ha scoperto e segnalato il bug, “APT28 sfrutta il meccanismo di parsing dello spazio dei nomi di Windows Shell per caricare una libreria di collegamento dinamico (DLL) da un server remoto utilizzando un percorso UNC.”

Cosa significa per te

Se utilizzi Windows, il rischio maggiore riguarda l’apertura di file sospetti da fonti non affidabili. Gli attaccanti potrebbero inviarti:

  • File allegati via email che sembrano innocui
  • File scaricati da siti web compromessi
  • Messaggi su piattaforme di comunicazione con link a file dannosi

Il consiglio principale rimane: aggiorna Windows immediatamente e sii cauto con i file ricevuti da fonti sconosciute.

Perché il primo patch non è bastato

Microsoft aveva già affrontato CVE-2026-21510 a febbraio 2026, implementando un controllo di SmartScreen per verificare la firma digitale e la zona di origine dei file CPL (Control Panel). Tuttavia, questa correzione ha lasciato una falla critica.

Il patch ha mitigato il rischio di esecuzione di codice remoto, ma ha permesso al computer della vittima di autenticarsi comunque al server dell’attaccante e di recuperare automaticamente il file CPL risolvendo il percorso UNC e avviando una connessione SMB senza richiedere interazione dell’utente.

Questo è il punto debole che CVE-2026-32202 sfrutta: esiste un divario tra la risoluzione del percorso e la verifica della fiducia, lasciando aperto un vettore di furto di credenziali a zero-click attraverso file LNK auto-analizzati.

Azioni consigliate

  1. Installa gli ultimi aggiornamenti di Windows – Questo è il passo più importante
  2. Abilita gli aggiornamenti automatici – Se non l’hai già fatto
  3. Usa un software antivirus aggiornato – Mantieni la protezione in tempo reale attiva
  4. Sii cauto con i file ricevuti – Non aprire allegati da fonti sconosciute
  5. Monitora l’attività di rete – Se sei un amministratore IT, verifica i log di autenticazione NTLM

Technical Deep Dive

Per i professionisti della sicurezza e gli amministratori IT, ecco i dettagli tecnici della vulnerabilità:

Meccanismo di sfruttamento

L’exploit sfrutta il parsing automatico dei percorsi UNC in Windows Shell. Quando un file LNK contiene un percorso UNC come \\attacker.com\share\payload.cpl, Windows avvia automaticamente una connessione SMB al server dell’attaccante.

Questo comportamento è progettato per fornire trasparenza nella navigazione di rete, ma crea un vettore di autenticazione coercitiva. Il computer della vittima esegue un handshake NTLM completo, inviando il Net-NTLMv2 hash al server dell’attaccante.

Vettore di attacco

  1. Attaccante crea un file LNK con percorso UNC dannoso
  2. File viene distribuito tramite email, download o condivisione di rete
  3. Utente apre o accede al file
  4. Windows Shell risolve il percorso UNC
  5. Connessione SMB automatica viene stabilita
  6. NTLM authentication handshake avviene senza interazione utente
  7. Net-NTLMv2 hash viene inviato al server dell’attaccante

Impatto sulla sicurezza

Il CVSS score di 4.3 riflette l’impatto limitato di questa vulnerabilità specifica. Tuttavia, nel contesto della catena di exploit di APT28, il danno potenziale è significativamente più elevato. L’hash NTLMv2 rubato può essere utilizzato per:

  • NTLM relay attacks contro servizi interni
  • Offline cracking tramite dizionari e rainbow tables
  • Lateral movement all’interno della rete aziendale
  • Accesso a risorse condivise e server

Raccomandazioni per gli amministratori

Gli amministratori IT dovrebbero:

  1. Implementare il blocco di SMB v1 – Disabilita SMB v1 dove possibile
  2. Monitorare i log di autenticazione NTLM – Cerca pattern di autenticazione anomali
  3. Implementare MFA – Riduci il rischio di compromissione da hash rubati
  4. Segmentare la rete – Limita il movimento laterale
  5. Audit dei file LNK – Monitora la creazione e la distribuzione di file di collegamento
  6. Endpoint Detection and Response (EDR) – Implementa soluzioni EDR per rilevare comportamenti sospetti

Indicatori di compromissione (IOCs)

Ricerca nei tuoi log:

  • Connessioni SMB a server esterni inaspettati
  • Autenticazioni NTLM da percorsi UNC inusuali
  • Creazione di file LNK in directory di download o temp
  • Esecuzione di file CPL da percorsi di rete
  • Attività di SmartScreen bypass

L’aggiornamento di sicurezza di aprile 2026 risolve questi problemi implementando una validazione più rigorosa della zona di fiducia prima di risolvere i percorsi UNC e di avviare connessioni SMB.

Fonte: https://thehackernews.com/2026/04/microsoft-confirms-active-exploitation.html

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto