La vulnerabilidad CVE-2026-32202, resultado de un parche incompleto, permite el robo de hashes Net-NTLMv2 sin interacción del usuario. Microsoft confirmó su explotación activa por el grupo ruso APT28, urgiendo a aplicar los parches de abril
Microsoft confirmó este lunes la explotación activa de una vulnerabilidad de seguridad en Windows Shell, identificada como CVE-2026-32202, que permite a un atacante robar credenciales de red sin ninguna interacción por parte de la víctima. El fallo, que surge de un parche incompleto para una vulnerabilidad anterior, está siendo activamente armado por el grupo de amenazas persistentes avanzadas (APT) vinculado a Rusia, conocido como APT28 o Fancy Bear. La compañía de Redmond ha instado a los administradores a aplicar de forma inmediata las actualizaciones de seguridad publicadas en el ciclo de parches de abril para mitigar el riesgo.
El problema técnico, catalogado como un "fallo en el mecanismo de protección" y registrado en la Base de Datos Nacional de Vulnerabilidades con una puntuación CVSS de 4.3 (Media), reside en la forma en que el Shell de Windows maneja archivos de acceso directo (.lnk) maliciosos. Un atacante puede crear un archivo .lnk que apunte a un recurso en un servidor SMB controlado por él. Cuando un usuario simplemente abre la carpeta que contiene este archivo, el Explorador de Windows intenta obtener un icono del archivo a través de la ruta UNC, iniciando automáticamente una conexión SMB. Este proceso expone el hash Net-NTLMv2 del usuario, que el atacante captura para realizar ataques de retransmisión (NTLM relay) o de fuerza bruta sin conexión.
La perspectiva del adversario es clave en este incidente. El grupo APT28 ha demostrado una notable capacidad para identificar y explotar las grietas dejadas por correcciones de seguridad. Esta vulnerabilidad es una consecuencia directa de un parche insuficiente para CVE-2026-21510, corregido en febrero de 2026. Dicho fallo original ya estaba siendo explotado por APT28 en una cadena de ataque junto a CVE-2026-21513, dirigida a entidades en Ucrania y países de la Unión Europea desde finales de 2025.
La persistencia del grupo en este vector de ataque subraya su interés en el robo de credenciales para obtener acceso inicial y moverse lateralmente dentro de las redes de sus objetivos, principalmente en los sectores gubernamental, energético y de defensa.
Investigadores de la firma de ciberseguridad Akamai fueron quienes descubrieron que el parche de febrero, si bien mitigó el riesgo de ejecución remota de código (RCE), no abordó la fase inicial de autenticación automática. Según un análisis detallado de Akamai, la verificación de confianza (SmartScreen) se activaba demasiado tarde en la cadena de ejecución, permitiendo que la conexión SMB para la obtención del icono se completara sin validación previa.
Aunque Microsoft ya ha distribuido el parche correctivo dentro de sus actualizaciones de seguridad de abril, la confirmación de la explotación activa convierte la actualización en una prioridad crítica. Microsoft actualizó su guía de seguridad el 27 de abril para reflejar el estado de "Explotado".
Para las organizaciones en América Latina, especialmente aquellas en sectores estratégicos o gubernamentales que podrían ser objetivos de grupos estado-nación, la recomendación es verificar la implementación de los últimos parches en todas las estaciones de trabajo y servidores Windows, incluyendo Windows 10, 11 y múltiples versiones de Windows Server. La falta de parcheo expone a la organización a un riesgo significativo de compromiso de credenciales y acceso no autorizado a la red.
FUENTE ORIGINAL
Microsoft Security Response Center↗CURADO POR
Alejandro Vargas