Microsofts Windows-Fix vom April ließ eine Zero-Click-Lücke für Credential-Diebstahl offen

Microsoft hat CVE-2026-32202 zwar in den April-Updates 2026 behoben, doch das Problem ist schwerwiegender, als die erste Einordnung vermuten ließ. Laut SecurityWeek und Akamai hatte eine frühere unvollständige Korrektur einen Weg für Zero-Click-Credential-Diebstahl offengelassen.

Der kritische Punkt ist, dass Windows Explorer beim Anzeigen einer bösartigen LNK-Datei einen entfernten Server kontaktieren kann, um ein Symbol zu laden. Schon diese Verbindung kann eine automatische NTLM-Authentifizierung auslösen und einen Net-NTLMv2-Hash preisgeben, ganz ohne Nutzerklick.

Akamai bringt die Ausnutzung zudem mit APT28 in Verbindung, der russischen Gruppe, die bereits Ziele in der Ukraine und der EU attackiert hat. Damit ist das deutlich mehr als nur ein kleiner Technikfehler.

Für Verteidiger ist die Priorität klar: April-Patch ausrollen und gleichzeitig die eigene Abhängigkeit von NTLM, SMB und untrusted Shortcut-Dateien überprüfen.