Microsoft потвърди, че уязвимост в Windows Shell, която беше отстранена в месечната актуализация за сигурност с оценка CVSS 4,3 се експлоатира активно. Уязвимостта CVE-2026-32202 позволява кражба на потребителски данни без никакви действия от страна на жертвата: атакуващият може да открадне хеша на NTLM автентификацията чрез автоматично обработвани LNK файлове. Уязвимостта се отнася към типа „спуфинг“ (spoofing) – атакуващият подменя данните, за да представи злонамерен обект за доверен. Формално Microsoft описва сценарий, при който жертвата трябва да стартира злонамерен файл, но във веригата от експлойти на хакерската група APT28 Windows обработва LNK файла автоматично и кражбата на потребителски данни се случва без никакви действия от страна на потребителя. След стартирането на злонамерения обект от жертвата атакуващият получава достъп до част от поверителните данни на засегнатия компонент, но не може нито да промени разкритата информация, нито да ограничи достъпа до ресурса. Уязвимостта е открита от изследователя от компанията Akamai Маор Дахан, който е уведомил Microsoft за нея. Според него проблемът е възникнал поради непълно отстраняване на февруарската уязвимост CVE-2026-21510 (CVSS 8,8) в Windows Shell. APT28, известна също под имената Fancy Bear, Forest Blizzard, GruesomeLarch и Pawn Storm е използвала уязвимостта в комбинация с CVE-2026-21513 (CVSS 8,8) в MSHTML Framework. И двете уязвимости...