Microsoft bestätigt aktive Ausnutzung der Windows-Shell-Lücke CVE-2026-32202

Zusammenfassung

Microsoft hat am Montag seine Sicherheitsmeldung zu einer inzwischen behobenen, als hochgradig eingestuften Schwachstelle in der Windows Shell überarbeitet und darin erstmals bestätigt, dass die Lücke aktiv ausgenutzt wird. Es handelt sich um CVE-2026-32202 (CVSS-Wert 4.3), eine Spoofing-Schwachstelle, über die ein Angreifer auf vertrauliche Informationen zugreifen kann. Microsoft hatte sie bereits mit dem Patch-Tuesday-Update dieses Monats geschlossen. Laut Microsoft ermöglicht ein Versagen des Schutzmechanismus in der Windows Shell einem nicht autorisierten Angreifer, Spoofing über ein Netzwerk durchzuführen. Voraussetzung sei, dass das Opfer eine vom Angreifer übermittelte schädliche Datei selbst ausführt. Ein erfolgreicher Angriff erlaube den Einblick in bestimmte vertrauliche Informationen, jedoch nicht in alle Ressourcen der betroffenen Komponente; Daten könnten dabei weder verändert noch in ihrer Verfügbarkeit eingeschränkt werden. Entdeckt und gemeldet wurde die Lücke von Maor Dahan, Sicherheitsforscher bei Akamai. Nach dessen Angaben handelt es sich um eine Zero-Click-Schwachstelle, die auf einen unvollständigen Patch für die ältere Lücke CVE-2026-21510 zurückgeht.

Microsoft korrigierte nach eigenen Angaben am 27. April 2026 den „Exploitability Index, das Exploited-Flag sowie den CVSS-Vektor", die bei der Erstveröffentlichung am 14. April fehlerhaft gewesen seien. Details zu den beobachteten Angriffen nannte das Unternehmen nicht.

Akamai-Forscher Maor Dahan ordnet die neue Schwachstelle in einen größeren Zusammenhang ein. CVE-2026-32202 geht demnach auf einen unvollständigen Patch für CVE-2026-21510 zurück. Diese ältere Lücke wurde zusammen mit CVE-2026-21513 von der russischen staatlich gesteuerten Gruppe APT28 (auch bekannt als Fancy Bear, Forest Blizzard, GruesomeLarch und Pawn Storm) als Teil einer Exploit-Kette eingesetzt.

Den Missbrauch von CVE-2026-21513 hatte Akamai bereits in diesem Monat gemeldet und ihn APT28 zugeschrieben, nachdem das Unternehmen im Januar 2026 ein schädliches Artefakt entdeckt hatte. Die Kampagne richtete sich im Dezember 2025 gegen die Ukraine und EU-Staaten. Über eine präparierte Windows-Verknüpfung (LNK-Datei) wurden beide Schwachstellen ausgenutzt, um Microsoft Defender SmartScreen zu umgehen und vom Angreifer kontrollierten Code auszuführen.

Laut Dahan nutzt APT28 den Namespace-Parsing-Mechanismus der Windows Shell, um über einen UNC-Pfad eine DLL von einem entfernten Server zu laden. Die DLL werde als Teil der Control-Panel-Objekte (CPL) geladen, ohne dass eine korrekte Prüfung der Netzwerkzone erfolge.

Der Patch vom Februar 2026 entschärfte zwar das Risiko der Remotecodeausführung, indem er eine SmartScreen-Prüfung der digitalen Signatur und der Herkunftszone der CPL-Datei auslöste. Dennoch konnte sich das Opfersystem weiterhin am Server des Angreifers authentifizieren und die CPL-Datei automatisch abrufen, indem es den UNC-Pfad auflöste und ohne Nutzerinteraktion eine SMB-Verbindung aufbaute.

„Wenn dieser Pfad ein UNC-Pfad ist (etwa ‘\attacker.com\share\payload.cpl’), baut Windows eine SMB-Verbindung zum Server des Angreifers auf", erklärte Dahan. Diese SMB-Verbindung löse einen automatischen NTLM-Authentifizierungs-Handshake aus und sende den Net-NTLMv2-Hash des Opfers an den Angreifer. Dieser lasse sich später für NTLM-Relay-Angriffe und für das Offline-Knacken von Passwörtern verwenden.

„Während Microsoft die ursprüngliche Remotecodeausführung (CVE-2026-21510) behoben hat, blieb eine Schwachstelle zur erzwungenen Authentifizierung (CVE-2026-32202) bestehen", so Dahan. Diese Lücke zwischen Pfadauflösung und Vertrauensprüfung habe einen Vektor für Zero-Click-Diebstahl von Anmeldedaten über automatisch ausgewertete LNK-Dateien offengelassen.

Microsoft bestätigt aktive Ausnutzung der Windows-Shell-Lücke CVE-2026-32202

Ähnliche Artikel

Neueste Artikel