Lo zero-day di Windows CVE-2026-32202 è stato confermato come sfruttato

CVE-2026-32202 consente agli aggressori di rubare gli hash NTLMv2 dai sistemi Windows senza alcuna interazione da parte dell'utente, a parte l'esplorazione di una cartella.

Il CISA ha ordinato alle agenzie federali di applicare la patch CVE-2026-32202, una falla zero-click di Windows Shell lasciata aperta da una correzione incompleta di febbraio, ora confermata come sfruttata.

Darryl Linington (traduzione a cura di DeepL / Ninh Duy), Pubblicato 04/29/2026 🇺🇸 🇩🇪 ...

Una vulnerabilità di Windows Shell patchata nel Patch Tuesday di questo mese è stata confermata come attivamente sfruttata in natura. Il CISA ha aggiunto oggi CVE-2026-32202 al suo catalogo di Vulnerabilità Conosciute Sfruttate, ordinando alle agenzie federali statunitensi di applicare la patch entro il 12 maggio. La falla esiste perché la correzione di Microsoft del febbraio 2026 per una vulnerabilità correlata ha lasciato una lacuna nell'autenticazione che gli aggressori hanno poi sfruttato.

La falla originale, CVE-2026-21510, era una falla nel meccanismo di protezione di Windows Shell sfruttata negli attacchi contro l'Ucraina e i Paesi dell'UE nel dicembre 2025. Microsoft ha applicato una patch a CVE-2026-21510 a febbraio e all'epoca l'ha contrassegnata come sfruttata attivamente. Ciò che non ha segnalato è che la patch lasciava una lacuna.

Come la correzione incompleta ha lasciato una porta aperta

La società di sicurezza informatica Akamai ha analizzato la patch di febbraio e ha scoperto che la correzione bloccava il componente di esecuzione di codice remoto, ma lasciava aperto un vettore di coercizione dell'autenticazione. Quando Windows Explorer visualizza una cartella contenente un file di collegamento LNK dannoso, risolve automaticamente qualsiasi percorso UNC incorporato nel file. Se tale percorso punta a un server controllato dall'aggressore, Windows avvia una connessione SMB e invia l'hash NTLMv2 della vittima all'aggressore, senza che la vittima debba aprire o eseguire il file.

Basta sfogliare la cartella in cui è stato scaricato il collegamento per attivarlo.

Questa lacuna residua è diventata CVE-2026-32202. Microsoft l'ha patchata nel Patch Tuesday di aprile il 14 aprile, ma all'epoca l'aveva contrassegnata in modo errato, senza un flag di sfruttamento. Il 27 aprile, Microsoft ha aggiornato l'advisory per correggere l'indice di sfruttabilità e confermare lo sfruttamento attivo. Il CISA l'ha aggiunto oggi al catalogo KEV.

Perché il punteggio CVSS è fuorviante

CVE-2026-32202 ha un punteggio CVSS di 4.3, che si colloca nella fascia di gravità media. Questo numero sottovaluta il rischio reale. L'hash di NTLMv2 rubato può essere utilizzato negli attacchi di relay per autenticarsi come utente compromesso in altri sistemi sulla stessa rete, o crackato offline per recuperare la password in chiaro.

In pratica, la catena di attacchi offre all'avversario un percorso di movimento laterale e di escalation dei privilegi, non solo una divulgazione limitata di informazioni.

La correzione è inclusa nell'aggiornamento cumulativo KB5083769 del mese di aprile 2026 per le versioni 24H2 e 25H2 di Windows 11. Si tratta dello stesso aggiornamento che attualmente causa loop di avvio su un sottoinsieme di macchine HP e Dell. Gli utenti che non l'hanno ancora applicato rimangono esposti a un vettore di furto di credenziali zero-click confermato. Chi ha già riscontrato il problema del loop di avvio KB5083769 dovrebbe seguire le indicazioni di ripristino di Microsoft prima di applicare l'aggiornamento.

Microsoft, stranamente, sta l'aggiornamento forzato i PC Windows 11 24H2 non gestiti a 25H2 prima della fine del supporto del 13 ottobre, ma l'aggiornamento KB5083769 continua a mandare alcune macchine in loop di avvio irrecuperabili.