Неполный патч Microsoft породил новую уязвимость нулевого клика

Исследователи Akamai сообщили о цепочке уязвимостей, которая показывает, как неполный patch может привести к появлению новой, еще более опасной угрозы. Речь идет о CVE-2026-32202 — zero-click уязвимости, возникшей после попытки Microsoft исправить CVE-2026-21510, ранее атрибутируемую злоумышленнику APT28 (Fancy Bear).

По данным отчета, исправление устранило исходный Remote Code Execution (RCE) и bypass SmartScreen, связанные с CVE-2026-21510, однако оставило без внимания новую схему атаки. В результате злоумышленник получил возможность заставить систему жертвы пройти authentication на сервере атакующего без какого-либо взаимодействия с пользователем.

Как работает атака

Исследователи отмечают, что в цепочке эксплуатации ключевую роль сыграл вредоносный файл LNK. Именно он использовался для обхода защитных механизмов и запуска кода через DLL, загружаемую с удаленного сервера злоумышленника.

Схема атаки строилась на особенностях синтаксического анализа Windows shell namespace. Это позволяло скомпрометированным Control Panel objects загружать библиотеку DLL без надлежащей проверки.

• вредоносный LNK содержит список target links;
• этот список может обрабатываться через shell32.dll и отображаться в Windows Explorer;
• среди идентификаторов присутствует путь к DLL, размещенной на сервере злоумышленника;
• в итоге происходит выполнение кода атакующего.

Особую опасность, по оценке Akamai, представляет то, что процесс запускается без проверок со стороны Microsoft Defender SmartScreen и без полноценной authentication verification. Это существенно повышает вероятность успешной эксплуатации.

Почему проблема оказалась серьезнее первоначальной

Отчет подчеркивает: недостатки в исправлении указывают на более широкую проблему безопасности механизмов authentication. Риск особенно высок в тех сценариях, где первоначальный запрос к ресурсу не проходит проверку на trust.

CVE-2026-32202 расширяет возможности атаки до zero-click сценария. Это означает, что злоумышленник может незаметно красть учетные данные, всего лишь вынудив жертву открыть папку, содержащую вредоносный LNK file.

Появление CVE-2026-32202 наглядно демонстрирует, как неполные исправления могут создавать новые угрозы безопасности вместо того, чтобы устранять старые.

Что это значит для защиты

Исследователи делают вывод, что качественный patching должен включать не только устранение конкретного exploit, но и всестороннюю проверку смежных механизмов, которые могут оказаться уязвимыми после обновления.

В противном случае, как показал этот инцидент, попытка закрыть одну брешь может привести к появлению новой — уже с возможностью zero-click атаки и скрытого хищения credentials.

Вывод Akamai предельно ясен: для предотвращения подобных инцидентов необходимы тщательное тестирование исправлений и проверка всех зависимых систем, которые могут оказаться точкой входа для атакующих.