Notebookcheck Logo

Windows nolldag CVE-2026-32202 bekräftad som utnyttjad

CVE-2026-32202 gör det möjligt för angripare att stjäla NTLMv2-hashar från Windows-system utan någon användarinteraktion utöver att bläddra i en mapp.
ⓘ Magnific.com
CVE-2026-32202 gör det möjligt för angripare att stjäla NTLMv2-hashar från Windows-system utan någon användarinteraktion utöver att bläddra i en mapp.
CISA har beordrat federala myndigheter att patcha CVE-2026-32202, ett Windows Shell-fel med nollklick som lämnats öppet av en ofullständig fix i februari och som nu bekräftats vara utnyttjat.
Desktop E-Mobility Laptop / Notebook Microsoft Security Software Windows

En Windows Shell-sårbarhet som patchades i denna månads Patch Tuesday har bekräftats som aktivt utnyttjad i naturen. CISA lade till CVE-2026-32202 i sin katalog över kända exploaterade sårbarheter idag och beordrade amerikanska federala myndigheter att lappa senast den 12 maj. Felet finns eftersom Microsofts fix i februari 2026 för en relaterad sårbarhet lämnade ett autentiseringsgap som angripare sedan dess har använt.

Det ursprungliga felet, CVE-2026-21510, var ett fel i Windows Shell-skyddsmekanismen som utnyttjades i attacker mot Ukraina och EU-länder i december 2025. Microsoft patchade CVE-2026-21510 i februari och markerade det som aktivt utnyttjat vid den tiden. Vad det inte flaggade var att plåstret lämnade ett gap.

Hur den ofullständiga fixen lämnade en dörr öppen

Cybersäkerhetsföretaget Akamai analyserade februari-patchen och fann att fixen blockerade fjärrkodkörningskomponenten men lämnade en autentiseringstvångsvektor öppen. När Windows Explorer återger en mapp som innehåller en skadlig LNK-genvägsfil löser den automatiskt alla UNC-sökvägar som är inbäddade i den filen. Om den sökvägen pekar på en server som kontrolleras av en angripare initierar Windows en SMB-anslutning och skickar offrets NTLMv2-hash till angriparen utan att offret behöver öppna eller köra filen.

Att bara bläddra i mappen där genvägen laddades ner räcker för att utlösa den.

Det kvarvarande gapet blev CVE-2026-32202. Microsoft patchade den i april Patch Tuesday den 14 april, men markerade den felaktigt vid den tiden, utan någon exploateringsflagga. Den 27 april uppdaterade Microsoft rådgivningen för att korrigera exploateringsindexet och bekräfta aktiv exploatering. CISA lade till det i KEV-katalogen idag.

Varför CVSS-poängen är vilseledande

CVE-2026-32202 har en CVSS-poäng på 4,3 och ligger i intervallet för medelhög svårighetsgrad. Det numret underskattar den verkliga risken. Den stulna NTLMv2-hash kan användas i reläattacker för att autentisera som den komprometterade användaren över andra system i samma nätverk, eller knäckt offline för att återställa lösenordet i klartext.

I praktiken ger attackkedjan en motståndare en väg till lateral rörelse och privilegieeskalering, inte bara ett begränsat informationsavslöjande.

Fixen ingår i den kumulativa uppdateringen KB5083769 för april 2026 för Windows 11 versionerna 24H2 och 25H2. Det är samma uppdatering som för närvarande orsakar startloopar på en delmängd av HP- och Dell-maskiner. Användare som ännu inte har tillämpat det förblir utsatta för en bekräftad nollklick-legitimationsstöldvektor. Alla som redan har fångats av KB5083769 boot loop-problemet bör följa Microsofts återställningsvägledning innan de tillämpar uppdateringen.

Microsoft är, konstigt nog, tvinga uppgradering ohanterade Windows 11 24H2-datorer till 25H2 före slutet av supporten den 13 oktober, men KB5083769 skickar fortfarande vissa maskiner till oåterkalleliga startloopar.

Please share our article, every link counts!
Mail Logo

Relaterade artiklar

> Bärbara datorer, laptops - tester och nyheter > Nyheter > Nyhetsarkiv > Nyhetsarkiv 2026 04 > Windows nolldag CVE-2026-32202 bekräftad som utnyttjad
Darryl Linington, 2026-04-29 (Update: 2026-04-29)