Windows 零日漏洞 CVE-2026-32202 被证实已被利用

本月的 "星期二补丁 "中修补的一个 Windows Shell 漏洞已被证实在野外被积极利用。CISA 今天将 CVE-2026-32202 添加到其已知漏洞目录中，命令美国联邦机构在 5 月 12 日前打上补丁。之所以存在这个漏洞，是因为微软在 2026 年 2 月修复了一个相关漏洞，但却留下了一个身份验证漏洞，攻击者此后一直在利用这个漏洞。

最初的漏洞CVE-2026-21510是一个Windows Shell保护机制故障，在2025年12月针对乌克兰和欧盟国家的攻击中被利用。微软于今年 2 月修补了 CVE-2026-21510，并在当时将其标记为已被积极利用。但它没有指出的是，该补丁留下了漏洞。

不完整的修补是如何留下漏洞的

网络安全公司 Akamai分析了二月份的补丁，发现该补丁阻止了远程代码执行组件，但留下了一个身份验证胁迫向量。当Windows资源管理器渲染包含恶意LNK快捷方式文件的文件夹时，它会自动解析该文件中嵌入的任何UNC路径。如果该路径指向攻击者控制的服务器，Windows 就会启动 SMB 连接，并将受害者的 NTLMv2 哈希值发送给攻击者，而受害者无需打开或执行该文件。

只需浏览下载快捷方式的文件夹就足以触发它。

这一残余漏洞成为CVE-2026-32202.微软在 4 月 14 日的 "周二补丁 "中对其进行了修补，但当时的标记不正确，没有利用标记。4 月 27 日，微软更新了公告，更正了可利用性指数，并确认了主动利用。CISA 今天将其添加到 KEV 目录中。

为什么 CVSS 分数具有误导性

CVE-2026-32202 的 CVSS 得分为 4.3，属于中等严重程度。这个数字低估了真正的风险。窃取的NTLMv2 哈希值可用于中继攻击，在同一网络的其他系统中验证被攻击用户的身份，或离线破解以恢复明文密码。

实际上，攻击链为对手提供了横向移动和权限升级的途径，而不仅仅是有限的信息泄露。

该修复程序包含在 Windows 11 版本 24H2 和 25H2 的 4 月 2026 日累积更新 KB5083769 中。目前，正是该更新导致部分惠普和戴尔机器出现启动循环。尚未应用该更新的用户仍然暴露在已确认的零点击凭证窃取载体中。任何已经陷入KB5083769启动循环问题的用户都应该在应用更新之前遵循微软的恢复指导。

奇怪的是，微软 强制升级但KB5083769仍使一些机器进入无法恢复的启动循环。