Windows zero-day CVE-2026-32202 bevestigd als geëxploiteerd

CVE-2026-32202 stelt aanvallers in staat om NTLMv2-hashes van Windows-systemen te stelen zonder enige interactie van de gebruiker buiten het bladeren door een map.

CISA heeft federale agentschappen opgedragen om CVE-2026-32202 te patchen, een fout in de Windows Shell die door een onvolledige oplossing in februari is opengelaten en waarvan nu is bevestigd dat er misbruik van wordt gemaakt.

Darryl Linington (vertaald door DeepL / Ninh Duy), Gepubliceerd 29-04-2026 🇺🇸 🇩🇪 ...

Een kwetsbaarheid in Windows Shell die deze maand in Patch Tuesday is gepatcht, is bevestigd als actief misbruikt in het wild. CISA voegde CVE-2026-32202 vandaag toe aan haar catalogus met bekende geëxploiteerde kwetsbaarheden en gaf Amerikaanse federale agentschappen de opdracht om voor 12 mei een patch uit te voeren. Het lek bestaat omdat Microsofts fix van februari 2026 voor een verwant lek een authenticatiegat achterliet dat aanvallers sindsdien hebben gebruikt.

Het oorspronkelijke lek, CVE-2026-21510, was een fout in het Windows Shell-beschermingsmechanisme dat werd misbruikt bij aanvallen tegen Oekraïne en EU-landen in december 2025. Microsoft patchte CVE-2026-21510 in februari en markeerde het toen als actief misbruikt. Wat het niet opmerkte, was dat de patch een gat achterliet.

Hoe de onvolledige reparatie een deur openliet

Cyberbeveiligingsbedrijf Akamai analyseerde de patch van februari en ontdekte dat de fix de remote code execution-component blokkeerde, maar een vector voor authenticatie-uitbuiting openliet. Wanneer Windows Verkenner een map weergeeft die een schadelijk LNK-snelkoppelingsbestand bevat, lost het automatisch elk UNC-pad op dat in dat bestand is ingesloten. Als dat pad naar een door de aanvaller gecontroleerde server wijst, initieert Windows een SMB-verbinding en stuurt het de NTLMv2-hash van het slachtoffer naar de aanvaller zonder dat het slachtoffer het bestand hoeft te openen of uit te voeren.

Gewoon bladeren in de map waar de snelkoppeling is gedownload, is voldoende om dit te activeren.

Dat resterende gat werd CVE-2026-32202. Microsoft patchte het in de Patch Tuesday van april op 14 april, maar markeerde het toen verkeerd, zonder exploitatiemarkering. Op 27 april heeft Microsoft de advisory bijgewerkt om de exploitability index te corrigeren en actieve exploitatie te bevestigen. CISA heeft het vandaag toegevoegd aan de KEV-catalogus.

Waarom de CVSS-score misleidend is

CVE-2026-32202 heeft een CVSS-score van 4,3, in de middelzware categorie. Dat getal onderschat het echte risico. De gestolen NTLMv2 hash kan worden gebruikt in relay-aanvallen om zich als de gecompromitteerde gebruiker te authenticeren op andere systemen op hetzelfde netwerk, of offline worden gekraakt om het wachtwoord in klare tekst te achterhalen.

In de praktijk geeft de aanvalsketen een aanvaller een route naar laterale beweging en privilege-escalatie, en niet alleen een beperkte openbaarmaking van informatie.

De fix is opgenomen in de april 2026 cumulatieve update KB5083769 voor Windows 11 versies 24H2 en 25H2. Dat is dezelfde update die momenteel opstartlussen veroorzaakt op een subset van HP- en Dell-machines. Gebruikers die deze update nog niet hebben toegepast, blijven blootgesteld aan een bevestigde vector voor het stelen van referenties door middel van nul-klikken. Iedereen die al is getroffen door het KB5083769 probleem met de opstartlus, moet de herstelrichtlijnen van Microsoft volgen voordat u de update toepast.

Microsoft is, vreemd genoeg, een geforceerde upgrade uitvoert naar onbeheerde Windows 11 24H2 PC's naar 25H2 voor het einde van de ondersteuning op 13 oktober, maar KB5083769 stuurt sommige machines nog steeds in onherstelbare opstartlussen.