Uma nova vulnerabilidade de zero clique no Windows entrou no radar após ser explorada em ataques atribuídos ao grupo APT28 para contornar o Defender SmartScreen e forçar a autenticação automática da vítima em um servidor controlado pelo invasor.
A falha, identificada como CVE-2026-32202, foi corrigida pela Microsoft no Patch Tuesday de abril de 2026, mas chamou atenção por surgir como efeito residual de uma correção anterior no Windows Shell.
O ponto central da falha está no fato de que o Windows podia tentar acessar automaticamente um caminho remoto controlado pelo atacante só ao abrir a pasta que continha o arquivo malicioso. Nesse processo, o sistema iniciava uma conexão SMB e enviava ao invasor o hash Net-NTLMv2 da máquina ou do usuário, o que pode ser aproveitado em ataques de relay ou em tentativas de quebra offline de senha.
A brecha está ligada a uma correção incompleta para a CVE-2026-21510, tratada pela Microsoft em fevereiro de 2026. Embora esse patch tenha bloqueado a execução silenciosa de arquivos CPL remotos e reforçado a verificação de confiança pelo SmartScreen, pesquisadores da Akamai observaram que uma etapa anterior do fluxo ainda permitia a autenticação automática com o servidor do atacante.
A Microsoft classificou a CVE-2026-32202 como uma falha de “protection mechanism failure” no Windows Shell e confirmou exploração ativa.
A orientação é aplicar imediatamente as atualizações de abril de 2026 e reforçar o monitoramento de tráfego SMB de saída para destinos externos, além de restringir NTLMv2 ou migrar, quando possível, para autenticação baseada apenas em Kerberos.
