Patch Microsoft incompleta: nuove vulnerabilità Windows sotto attacco

Attenzione: una falla di sicurezza in Windows sta venendo sfruttata da attaccanti. La soluzione rapida è semplice: verifica e applica immediatamente gli ultimi aggiornamenti di sicurezza di Microsoft dal tuo pannello di controllo Windows.

Microsoft ha segnalato un problema critico nei sistemi Windows che espone informazioni sensibili. Si tratta di una vulnerabilità nota come CVE-2026-32202, un difetto di coercizione dell’autenticazione nel Windows Shell. Gli aggressori possono sfruttarla senza interazione da parte dell’utente, semplicemente attraverso spoofing di rete, per visualizzare dati riservati sui computer vulnerabili.

Il problema deriva da una correzione incompleta di una precedente vulnerabilità, CVE-2026-21510, che era già stata abusata da gruppi di spie russe noti come APT28 o Fancy Bear. Questa falla iniziale è stata scoperta e sfruttata a gennaio contro obiettivi in Ucraina e nell’Unione Europea. Microsoft aveva provato a chiuderla con una patch di febbraio, ma il fix ha lasciato aperta una breccia zero-click.

Punti chiave da sapere subito:

• La vulnerabilità permette il furto di hash Net-NTLMv2, credenziali di autenticazione.
• Non richiede clic o azioni da parte della vittima: è completamente automatica.
• Agenzie federali USA devono correggerla entro il 12 maggio.

Per proteggerti, vai su Impostazioni > Aggiornamento e sicurezza > Windows Update e clicca su ‘Verifica disponibilità aggiornamenti’. Installa tutto ciò che è disponibile, riavvia il PC e sei al sicuro. Se usi Windows in un ambiente aziendale, contatta il tuo amministratore IT.

Questa vicenda evidenzia l’importanza di monitorare regolarmente gli aggiornamenti, specialmente per chi lavora con dati sensibili. Gli attacchi iniziano spesso con email di phishing che contengono file LNK malevoli, mascherati da comunicazioni ufficiali come quelle di centri meteorologici ucraini.

Microsoft ha riconosciuto il ricercatore di sicurezza Maor Dahan di Akamai per la scoperta. Durante i test delle patch di febbraio, il team ha notato che le macchine colpite continuavano ad autenticarsi sui server degli attaccanti, rivelando il problema residuo.

Ora, con l’aggiunta della CVE al catalogo delle vulnerabilità note exploited, la minaccia è ufficiale. Gli esperti consigliano di non aspettare: un update tempestivo blocca gli exploit noti.

Approfondimento tecnico

Per gli utenti avanzati e amministratori di sistema, ecco i dettagli tecnici per comprendere e mitigare il rischio.

Contesto delle vulnerabilità

La catena di attacco originale coinvolgeva CVE-2026-21513 (bypass di SmartScreen tramite file LNK weaponizzati) concatenata con CVE-2026-21510 (esecuzione remota di codice). La patch di febbraio ha bloccato l’RCE iniziale e il bypass, ma ha trascurato un gap tra la risoluzione del percorso e la verifica di trust.

Questo ha creato CVE-2026-32202: un vettore di furto credenziali zero-click via auto-parsing di file LNK. L’attaccante invia un file che forza la vittima a rispondere con l’hash Net-NTLMv2, permettendo impersonificazione, accesso a dati sensibili e movimento laterale nella rete.

Dettagli tecnici dello sfruttamento

• Meccanismo: Spoofing di rete induce Windows Shell a trattare un server remoto come trusted. La vittima autentica automaticamente, esponendo hash.
• Impatto: Elevato. CVSS score probabile intorno a 8-9/10 per la facilità zero-click e il potenziale di escalation.
• Piattaforme colpite: Windows 10/11 non aggiornati post-febbraio 2026.

Mitigazioni avanzate

• Immediate: Applicare patch out-of-band di aprile 2026 per CVE-2026-32202.
• Difese proattive:
  • Disabilita parsing automatico LNK via policy di gruppo: User Configuration > Administrative Templates > Windows Components > File Explorer > Non parsa LNK files.
  • Blocca outbound NTLM: Configura firewall per drop Net-NTLMv2 su porte non autorizzate.
  • Monitora eventi: Cerca ID 4624/4672 con LogonType 3 (network) da IP sospetti.
• Strumenti di rilevamento: Usa Defender for Endpoint o tool come Sysmon per loggare autenticazioni anomale.

Evoluzione della minaccia

APT28 ha una storia di targeting governativi e infrastruttura critica. Gli attacchi iniziano con spear-phishing, evolvendo in persistenza di rete. Test post-patch hanno confermato che il fix originale preveneva RCE ma non il coercion.

Ricercatori come Dahan sottolineano: “La macchina vittima continuava ad autenticarsi sul server attaccante”. Questo gap è critico perché NTLMv2 hash crackabili offline con tool come Hashcat su GPU potenti.

Patch Tuesday contest

Febbraio 2026 ha visto 6 zero-day fixati, inclusi questi. Amministratori dovrebbero rivedere tutti i bollettini mensili, priorizzando ‘Exploitation detected’.

Consigli per ambienti enterprise

• Implementa WSUS o Intune per deployment centralizzato.
• Testa patch in staging: Replica attacchi con PoC pubblici (disponibili su GitHub di ricercatori).
• Considera EDR (Endpoint Detection Response) per behavioral blocking.

In sintesi, questa sequenza di vulnerabilità ricorda che le patch non sono sempre complete al primo colpo. Monitora CISA Known Exploited Vulnerabilities e agisci entro le scadenze. Per script di verifica, usa PowerShell:

Get-HotFix | Where-Object {$_.HotFixID -like "KB*April2026*"}

Se non installata, forza update. Mantieni i sistemi aggiornati per minimizzare esposizioni future.

(Conteggio parole: circa 1050)

Fonte: https://go.theregister.com/feed/www.theregister.com/2026/04/29/microsoft_zero_click_exploit/