Microsoft revisó el lunes su aviso sobre una falla de seguridad de alta gravedad actualmente parcheada que afecta a Windows Shell, reconociendo que la vulnerabilidad de hecho está siendo explotada activamente.
La vulnerabilidad en cuestión es CVE-2026-32202 (puntuación CVSS: 4,3), una vulnerabilidad de suplantación de identidad que podría permitir a los atacantes acceder a información confidencial. Este problema se solucionó como parte de la actualización del martes de parches de este mes.
«Las fallas en los mecanismos de protección de Windows Shell podrían permitir que un atacante no autorizado realice suplantación de identidad en su red», dijo Microsoft en una advertencia. «El atacante envía un archivo malicioso a la víctima y ésta debe ejecutarlo».
«Un atacante que explote con éxito esta vulnerabilidad puede ver cierta información confidencial (sensibilidad), pero no todos los recursos dentro del componente afectado estarán expuestos al atacante. Un atacante no podrá modificar la información expuesta (integridad) ni restringir el acceso a los recursos (disponibilidad)».
El 27 de abril de 2026, Microsoft anunció que el «Índice de explotabilidad, indicadores explotados y vectores CVSS» eran incorrectos cuando se publicaron el 14 de abril y se corrigieron.
El gigante tecnológico no reveló detalles de la actividad del exploit, pero el investigador de seguridad de Akamai, Maor Dahan, a quien se le atribuye haber descubierto e informado el error, dijo que la vulnerabilidad sin clic se debía a un parche incompleto para CVE-2026-21510.
Este último fue utilizado como arma por un grupo de estado-nación ruso rastreado como APT28 (también conocido como Fancy Bear, Forest Blizzard, GruesomeLarch y Pawn Storm) junto con CVE-2026-21513 como parte de una cadena de exploits.
CVE-2026-21510 (Puntuación CVSS: 8,8): una falla en el mecanismo de protección del Shell de Windows permite a un atacante sin privilegios eludir las funciones de seguridad a través de la red. (Solucionado por Microsoft en febrero de 2026) CVE-2026-21513 (Puntuación CVSS: 8,8): una falla en un mecanismo de protección en el marco MSHTML permite a un atacante sin privilegios eludir las funciones de seguridad a través de la red. (Solucionado por Microsoft en febrero de 2026)
También vale la pena señalar que el exploit CVE-2026-21513 fue informado por una empresa de seguridad e infraestructura web a principios del mes pasado después de descubrir un artefacto malicioso en enero de 2026 y estaba asociado con APT28.
Explotación CVE-2026-21510
Dirigida a Ucrania y los países de la UE en diciembre de 2025, la campaña aprovecha archivos maliciosos de accesos directos de Windows (LNK) para explotar dos vulnerabilidades que evitan eficazmente Microsoft Defender SmartScreen y permiten la ejecución de código controlado por atacantes.
«APT28 aprovecha el mecanismo de análisis del espacio de nombres del shell de Windows para cargar bibliotecas de vínculos dinámicos (DLL) desde servidores remotos utilizando rutas UNC», explicó Dahan. «La DLL se carga como parte del objeto del Panel de control (CPL) sin la validación adecuada de la zona de red.
Según Akamai, el parche de febrero de 2026 mitiga el riesgo de ejecución remota de código al firmar digitalmente archivos CPL y activar una verificación SmartScreen en la zona de origen, pero aún permite que la máquina víctima recupere automáticamente archivos CPL autenticándose en el servidor del atacante, resolviendo una ruta de Convención de Nomenclatura Universal (UNC) e iniciando una conexión SMB sin requerir la interacción del usuario.
«Si esa ruta es una ruta UNC (como ‘\\attacker.com\share\payload.cpl’), Windows iniciará una conexión SMB con el servidor del atacante», dijo Dahan. «Esta conexión de Bloque de mensajes del servidor (SMB) activa un protocolo de enlace de autenticación NTLM automático y envía el hash Net-NTLMv2 de la víctima al atacante, que luego puede usarse para ataques de retransmisión NTLM o craqueo fuera de línea».
«Si bien Microsoft solucionó el RCE inicial (CVE-2026-21510), la falla de aplicación de autenticación (CVE-2026-32202) permaneció. La brecha entre la resolución de la ruta y la verificación de autenticidad dejó un vector de robo de credenciales sin hacer clic a través de archivos LNK analizados automáticamente».
Source link
