Uma nova vulnerabilidade crítica no Windows está sendo explorada ativamente por invasores e levanta preocupações sobre a eficácia de correções recentes da Microsoft. Identificada como CVE-2026-32202, a falha surgiu a partir de um patch incompleto para uma vulnerabilidade anterior já explorada em ataques atribuídos ao grupo russo APT28.

O problema está relacionado ao Windows Shell e envolve uma técnica de coerção de autenticação que permite a exposição de informações sensíveis sem qualquer interação do usuário — um cenário classificado como zero-click. Na prática, a falha pode ser explorada por meio de spoofing de rede, levando o sistema da vítima a se autenticar automaticamente em um servidor controlado pelo invasor.

A cadeia de ataque que originou esse cenário começa semanas antes. Em janeiro, o grupo APT28 explorou a vulnerabilidade CVE-2026-21510 em campanhas direcionadas contra alvos na Ucrânia e na União Europeia. Os ataques tinham início com e-mails de phishing que simulavam comunicações do centro hidrometeorológico ucraniano. Esses e-mails continham arquivos LNK maliciosos que exploravam outra falha, a CVE-2026-21513.

A combinação dessas vulnerabilidades permitia contornar mecanismos de segurança do Windows, como o Defender SmartScreen, e executar código remotamente nas máquinas das vítimas. A Microsoft corrigiu essas falhas no Patch Tuesday de fevereiro, mas a correção deixou uma brecha residual.

Foi durante a análise dessas correções que pesquisadores da Akamai identificaram o novo problema. Segundo o pesquisador Maor Dahan, mesmo após o patch, o sistema da vítima continuava se autenticando automaticamente em servidores controlados por invasores — um comportamento inesperado e perigoso.

Essa falha residual permite que hackers capturem hashes de autenticação Net-NTLMv2, que podem ser reutilizados para se passar pelo usuário comprometido. Com isso, invasores conseguem acessar sistemas, movimentar-se lateralmente na rede e exfiltrar dados sensíveis sem necessidade de interação adicional da vítima.

Do ponto de vista técnico, o problema está em uma lacuna entre a resolução de caminhos e a verificação de confiança em arquivos LNK processados automaticamente pelo sistema. Esse gap cria um vetor silencioso de roubo de credenciais, altamente eficaz em ambientes corporativos.

A gravidade do cenário levou a CISA a incluir a vulnerabilidade no catálogo de falhas ativamente exploradas (Known Exploited Vulnerabilities), estabelecendo prazo até 12 de maio para que agências federais corrijam o problema.

Embora ainda não haja confirmação oficial sobre os responsáveis pelos ataques atuais, o histórico recente indica forte possibilidade de envolvimento de grupos patrocinados por Estados, especialmente considerando o uso anterior da vulnerabilidade em campanhas de espionagem cibernética.

O caso evidencia um problema recorrente na indústria: correções incompletas que eliminam o vetor principal de exploração, mas deixam superfícies residuais abertas. Em um cenário onde ataques são cada vez mais encadeados, essas falhas secundárias podem ser tão perigosas quanto as vulnerabilidades originais.

Além disso, o incidente reforça uma tendência crescente: ataques sofisticados que combinam phishing, exploração de múltiplas vulnerabilidades e técnicas de coerção de autenticação para comprometer identidades digitais — um dos ativos mais críticos nas redes corporativas modernas.