Microsoft revisó el lunes su aviso sobre una vulnerabilidad de seguridad de alta gravedad que afectaba a Windows Shell, la cual ya ha sido corregida, para reconocer que ha sido explotada activamente.
La vulnerabilidad en cuestión es CVE-2026-32202 (puntuación CVSS: 4.3), una vulnerabilidad de suplantación de identidad que podría permitir a un atacante acceder a información confidencial. Se solucionó como parte de la actualización Patch Tuesday de este mes.
«Un fallo en el mecanismo de protección del Shell de Windows permite que un atacante no autorizado realice suplantación de identidad a través de una red», señaló Microsoft en una alerta. «El atacante tendría que enviar a la víctima un archivo malicioso que esta tendría que ejecutar».
Un atacante que explotara con éxito la vulnerabilidad podría acceder a información sensible (Confidencialidad), pero no todos los recursos del componente afectado podrían ser divulgados al atacante. El atacante no puede modificar la información divulgada (Integridad) ni limitar el acceso al recurso (Disponibilidad).
El 27 de abril de 2026, Microsoft anunció que había corregido el «Índice de Explotación, la bandera de Explotación y el vector CVSS», ya que eran incorrectos cuando se publicaron el 14 de abril.
Aunque el gigante tecnológico no compartió detalles sobre la actividad de explotación, el investigador de seguridad de Akamai, Maor Dahan, a quien se le atribuye el descubrimiento y la notificación del fallo, afirmó que la vulnerabilidad de clic cero se debe a un parche incompleto para CVE-2026-21510.
Este último ha sido utilizado como arma por un grupo estatal ruso identificado como APT28 (también conocido como Fancy Bear, Forest Blizzard, GruesomeLarch y Pawn Storm) junto con CVE-2026-21513 como parte de una cadena de exploits.
- CVE-2026-21510 (puntuación CVSS: 8,8): Fallo en el mecanismo de protección del Shell de Windows que permite a un atacante no autorizado eludir una función de seguridad a través de una red. (Solucionado por Microsoft en febrero de 2026 ).
- CVE-2026-21513 (puntuación CVSS: 8,8): Fallo en el mecanismo de protección del marco MSHTML que permite a un atacante no autorizado eludir una función de seguridad a través de una red. (Solucionado por Microsoft en febrero de 2026 ).
Cabe destacar que la empresa de seguridad e infraestructura web también alertó a principios del mes pasado sobre el abuso de la vulnerabilidad CVE-2026-21513, vinculándola con APT28 tras descubrir un artefacto malicioso en enero de 2026.
La campaña, dirigida a Ucrania y a los países de la UE en diciembre de 2025, aprovecha un archivo de acceso directo de Windows (LNK) malicioso para explotar dos vulnerabilidades, eludiendo así Microsoft Defender SmartScreen y permitiendo la ejecución de código controlado por el atacante.
«APT28 aprovecha el mecanismo de análisis del espacio de nombres del Shell de Windows para cargar una biblioteca de vínculos dinámicos (DLL) desde un servidor remoto mediante una ruta UNC», explicó Dahan . «La DLL se carga como parte de los objetos del Panel de control ( CPL ) sin la validación adecuada de la zona de red».
Akamai afirmó que el parche de febrero de 2026, si bien mitigaba el riesgo de ejecución remota de código al activar una comprobación SmartScreen de la firma digital y la zona de origen del archivo CPL, aún permitía que la máquina víctima se autenticara en el servidor del atacante y obtuviera automáticamente el archivo CPL resolviendo la ruta de la Convención de Nombres Universales (UNC) e iniciando una conexión SMB sin requerir la interacción del usuario.
«Cuando esa ruta es una ruta UNC (como ‘\\attacker.com\share\payload.cpl’), Windows inicia una conexión SMB con el servidor del atacante», explicó Dahan. «Esta conexión SMB activa un protocolo de enlace de autenticación NTLM automático, enviando el hash Net-NTLMv2 de la víctima al atacante, que posteriormente puede utilizarse para ataques de retransmisión NTLM y descifrado sin conexión».
Si bien Microsoft solucionó la vulnerabilidad inicial de ejecución remota de código (CVE-2026-21510), persistía una falla de coerción de autenticación (CVE-2026-32202). Esta brecha entre la resolución de rutas y la verificación de confianza dejaba una vulnerabilidad de robo de credenciales sin necesidad de realizar ningún clic, a través de archivos LNK analizados automáticamente.
Fuente y redacción: thehackernews.com