Correção de abril da Microsoft deixou uma brecha zero-click para roubo de credenciais no Windows

A Microsoft corrigiu o CVE-2026-32202 nas atualizações de abril de 2026, mas o problema é mais sério do que o rótulo inicial sugeria. Segundo a SecurityWeek, com base em pesquisa da Akamai, uma correção anterior incompleta deixou aberta uma rota de roubo de credenciais em zero-click.

O ponto crítico é que o Windows Explorer pode contatar um servidor remoto para buscar o ícone de um arquivo LNK malicioso. Esse contato já pode disparar autenticação NTLM automática e vazar um hash Net-NTLMv2 sem qualquer clique da vítima.

A Akamai também liga a cadeia de exploração ao grupo russo APT28, conhecido por campanhas contra Ucrânia e alvos europeus. Isso torna o caso mais relevante do que um bug técnico isolado.

Para os defensores, a prioridade é aplicar o patch de abril e revisar exposição a NTLM, SMB e fluxos de arquivos shortcut não confiáveis.