- 26,298
- 46
- 8 Ноя 2022
Даже после обновлений пароли остаются под угрозой.
Один недочёт в обновлении безопасности открыл новый путь для атаки. Устранив уязвимость, которую использовала группировка APT28 , разработчики закрыли удалённое выполнение кода, но оставили другую проблему, позволяющую выманивать учётные данные без единого клика.
Специалисты Akamai обнаружили , что после того как устранили уязвимость CVE-2026-21510 в системе Windows, в ней сохранился скрытый механизм, который заставляет компьютер жертвы сам подключаться к серверу злоумышленника. Новый дефект получил номер CVE-2026-32202 . Атака не требует действий со стороны пользователя. Достаточно открыть папку с вредоносным файлом.
Кампанию проводит группировка Fancy Bear, которая в конце 2025 года атаковала ряд стран в Европе, используя специально подготовленные ярлыки Windows. Такие файлы с расширением LNK запускали цепочку уязвимостей, включая CVE-2026-21513 и CVE-2026-21510 . Через них злоумышленники обходили защиту системы и загружали вредоносный код с удалённого сервера.
Файл выглядел безобидно, но внутри содержал особую структуру, которая заставляла проводник Windows обращаться к удалённому ресурсу как к элементу панели управления. Система загружала библиотеку с сервера атакующего, не проверяя источник и не предупреждая пользователя.
В феврале 2026 года Microsoft выпустила исправление. Обновление добавило проверку через встроенный механизм защиты, который теперь анализирует источник файла, прежде чем запустить его. На первый взгляд, проблема решена, поскольку неподписанные или подозрительные компоненты больше не запускаются. Но проверка срабатывает слишком поздно. Пока система доходит до этапа проверки, она уже успевает обратиться к серверу злоумышленника.
Достаточно просто открыть папку с вредоносным ярлыком, чтобы проводник попытался загрузить его значок. В этот момент Windows автоматически подключается к удалённому ресурсу по сетевому протоколу и отправляет данные аутентификации. Пользователь ничего не нажимает и даже не замечает происходящего.
В результате атакующий получает хеш учётных данных формата Net-NTLMv2. Такие данные можно использовать для последующих атак – например, чтобы перехватывать сеансы или подбирать пароль. О проблеме сообщили разработчику, и уязвимость уже официально признана.
Один недочёт в обновлении безопасности открыл новый путь для атаки. Устранив уязвимость, которую использовала группировка APT28 , разработчики закрыли удалённое выполнение кода, но оставили другую проблему, позволяющую выманивать учётные данные без единого клика.
Специалисты Akamai обнаружили , что после того как устранили уязвимость CVE-2026-21510 в системе Windows, в ней сохранился скрытый механизм, который заставляет компьютер жертвы сам подключаться к серверу злоумышленника. Новый дефект получил номер CVE-2026-32202 . Атака не требует действий со стороны пользователя. Достаточно открыть папку с вредоносным файлом.
Кампанию проводит группировка Fancy Bear, которая в конце 2025 года атаковала ряд стран в Европе, используя специально подготовленные ярлыки Windows. Такие файлы с расширением LNK запускали цепочку уязвимостей, включая CVE-2026-21513 и CVE-2026-21510 . Через них злоумышленники обходили защиту системы и загружали вредоносный код с удалённого сервера.
Файл выглядел безобидно, но внутри содержал особую структуру, которая заставляла проводник Windows обращаться к удалённому ресурсу как к элементу панели управления. Система загружала библиотеку с сервера атакующего, не проверяя источник и не предупреждая пользователя.
В феврале 2026 года Microsoft выпустила исправление. Обновление добавило проверку через встроенный механизм защиты, который теперь анализирует источник файла, прежде чем запустить его. На первый взгляд, проблема решена, поскольку неподписанные или подозрительные компоненты больше не запускаются. Но проверка срабатывает слишком поздно. Пока система доходит до этапа проверки, она уже успевает обратиться к серверу злоумышленника.
Достаточно просто открыть папку с вредоносным ярлыком, чтобы проводник попытался загрузить его значок. В этот момент Windows автоматически подключается к удалённому ресурсу по сетевому протоколу и отправляет данные аутентификации. Пользователь ничего не нажимает и даже не замечает происходящего.
В результате атакующий получает хеш учётных данных формата Net-NTLMv2. Такие данные можно использовать для последующих атак – например, чтобы перехватывать сеансы или подбирать пароль. О проблеме сообщили разработчику, и уязвимость уже официально признана.
- Источник новости
- www.securitylab.ru
