Iscriviti al webinar gratuito del 12 Maggio per diventare Forensic Analyst! Scopri di più
Corso Ethical Hacker: accedi alla promozione fino al 30 Arile! Scopri di più
Windows Shell sotto attacco: CVE-2026-32202 ruba hash NTLMv2 via LNK e SMB, Microsoft corregge l’avviso
Microsoft ha aggiornato un avviso di sicurezza relativo a Windows Shell confermando che la vulnerabilità CVE-2026-32202 è stata sfruttata attivamente in attacchi reali. Il problema, classificato come spoofing, consente a un attaccante di ottenere accesso a informazioni sensibili senza arrivare a modificare dati o interrompere la disponibilità delle risorse.
In pratica il rischio principale riguarda la riservatezza, con esposizione di elementi utili a successive fasi di compromissione.
La falla è stata corretta tramite gli aggiornamenti di Patch Tuesday del mese, ma l’aspetto più rilevante è che l’advisory è stato rivisto dopo la pubblicazione iniziale. Microsoft ha infatti indicato di aver rettificato parametri come exploitability index, flag di sfruttamento e vettore CVSS che risultavano errati. Questa dinamica evidenzia quanto sia importante monitorare non solo la disponibilità delle patch, ma anche gli aggiornamenti successivi delle note di sicurezza, perché possono cambiare la priorità di remediation.
Secondo l’analisi tecnica collegata alla scoperta, CVE-2026-32202 deriverebbe da una patch incompleta di una precedente vulnerabilità di Windows Shell, CVE-2026-21510. Questo dettaglio è cruciale per la sicurezza Windows: anche quando una vulnerabilità ad alta gravità viene risolta, possono rimanere superfici sfruttabili legate a meccanismi di fiducia e validazione delle risorse di rete. Nel caso specifico, la catena di attacco osservata in campagne mirate ha utilizzato file LNK malevoli per innescare comportamenti di Windows Shell e aggirare controlli come Microsoft Defender SmartScreen, arrivando a caricare componenti da percorsi remoti.
Il punto tecnico più critico riguarda l’uso di percorsi UNC e la conseguente connessione SMB automatica. Quando Windows risolve un percorso del tipo \\server\condivisione\file, può avviare una negoziazione di autenticazione NTLM senza richiedere interazione dell’utente. Questo porta all’invio dell’hash Net-NTLMv2 verso un server controllato dall’attaccante, aprendo la strada a tecniche di NTLM relay e a tentativi di cracking offline delle credenziali.
Per ridurre il rischio è fondamentale:
- Applicare subito gli aggiornamenti di sicurezza Windows.
- Limitare, ove possibile, l’esposizione e l’uso di NTLM.
- Controllare il traffico SMB verso destinazioni non autorizzate.
- Rafforzare le policy su collegamenti LNK e contenuti provenienti da fonti esterne.