微軟週一修改了其針對 Windows Shell 的一個現已修復的高風險安全漏洞的公告，承認該漏洞已被實際利用。這次涉及的漏洞為CVE-2026-32202（CVSS：4.3），這是一個欺騙漏洞，攻擊者可以利用該漏洞存取敏感資訊。該漏洞已在本月的「週二修補日」更新中修復。

微軟在一份警報中指出：Windows Shell 中的保護機制失效，使得未經授權的攻擊者能夠通過網路執行欺騙操作。攻擊者需要向受害者發送惡意文件，而受害者則必須執行該文件。成功利用漏洞的攻擊者可以查看一些敏感資訊（保密性），但並非受影響組件中的所有資源都會洩露給攻擊者。攻擊者無法更改已洩露的資訊（完整性）或限制對資源的存取（可用性）。

雖然這家科技巨頭沒有透露任何有關此次漏洞利用活動的細節，但因發現並報告該漏洞而受到讚譽的 Akamai 安全研究員 Maor Dahan 表示，這種零點擊漏洞源於 CVE-2026-21510 的不完整補丁。

後者已被一個名為APT28（又名 Fancy Bear、Forest Blizzard、GruesomeLarch 和 Pawn Storm）的俄羅斯國家組織利用，並與 CVE-2026-21513 一起作為漏洞利用鏈的一部分進行攻擊 -

✔  CVE-2026-21510（CVSS評分：8.8）－Windows Shell中的一個保護機制漏洞，允許未經授權的攻擊者透過網路繞過安全功能。 （微軟已於2026年2月修復）

✔  CVE-2026-21513（CVSS評分：8.8）－MSHTML框架中的一個保護機制缺陷，允許未經授權的攻擊者透過網路繞過安全功能。 （微軟已於2026年2月修復）

值得注意的是，網路基礎設施和安全公司上個月初也發現了CVE-2026-21513 的濫用情況，並在 2026 年 1 月發現了一個惡意文件後，將其與 APT28 聯繫起來。

Dahan表示：「當路徑是UNC路徑（例如‘\\attacker.com\share\payload.cpl’）時，Windows會發動與攻擊者伺服器的SMB連接。這種伺服器訊息區塊（SMB）連線會觸發自動NTLM驗證握手，將受害者的Net-NTLMv2雜湊攻擊者，該值隨後可用於離線攻擊。雖然微軟修復了最初的遠端程式碼執行漏洞（CVE-2026-21510），但身份驗證強制漏洞（CVE-2026-32202）仍然存在。路徑解析和信任驗證之間的這一漏洞，使得攻擊者可以透過自動解析的 LNK 文件，以零點擊的方式竊取憑證。」

資料來源：https://thehackernews.com/2026/04/microsoft-confirms-active-exploitation.html