Notebookcheck Logo

Windows sıfır gün CVE-2026-32202'nin istismar edildiği doğrulandı

CVE-2026-32202, saldırganların bir klasöre göz atmanın ötesinde herhangi bir kullanıcı etkileşimi olmadan Windows sistemlerinden NTLMv2 karmalarını çalmasına olanak tanır.
ⓘ Magnific.com
CVE-2026-32202, saldırganların bir klasöre göz atmanın ötesinde herhangi bir kullanıcı etkileşimi olmadan Windows sistemlerinden NTLMv2 karmalarını çalmasına olanak tanır.
CISA federal kurumlara, Şubat ayında yapılan eksik bir düzeltme ile açık bırakılan ve şimdi istismar edildiği doğrulanan bir sıfır tıklama Windows Shell açığı olan CVE-2026-32202'yi yamalamalarını emretti.
Desktop E-Mobility Laptop / Notebook Microsoft Security Software Windows

Bu ayki Salı Yaması'nda yamanan bir Windows Shell güvenlik açığının vahşi doğada aktif olarak istismar edildiği doğrulandı. CISA bugün CVE-2026-32202'yi Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna ekleyerek ABD federal kurumlarına 12 Mayıs'a kadar yama yapmalarını emretti. Bu açık, Microsoft'un Şubat 2026'da ilgili bir güvenlik açığı için yaptığı düzeltmenin saldırganların o zamandan beri kullandığı bir kimlik doğrulama boşluğu bırakması nedeniyle ortaya çıkmıştır.

Orijinal açık olan CVE-2026-21510, Aralık 2025'te Ukrayna ve AB ülkelerine yönelik saldırılarda istismar edilen bir Windows Shell koruma mekanizması hatasıydı. Microsoft, CVE-2026-21510'u Şubat ayında yamaladı ve o sırada aktif olarak istismar edildiğini işaretledi. Yamanın işaretlemediği şey ise bir boşluk bırakmış olmasıydı.

Eksik düzeltme bir kapıyı nasıl açık bıraktı?

Siber güvenlik firması Akamai şubat yamasını analiz etti ve düzeltmenin uzaktan kod yürütme bileşenini engellediğini ancak bir kimlik doğrulama zorlama vektörünü açık bıraktığını buldu. Windows Gezgini kötü amaçlı bir LNK kısayol dosyası içeren bir klasörü oluşturduğunda, bu dosyaya gömülü herhangi bir UNC yolunu otomatik olarak çözer. Bu yol saldırganın kontrolündeki bir sunucuyu işaret ediyorsa, Windows bir SMB bağlantısı başlatır ve kurbanın dosyayı açmasına veya çalıştırmasına gerek kalmadan kurbanın NTLMv2 karmasını saldırgana gönderir.

Kısayolun indirildiği klasöre göz atmak bile bunu tetiklemek için yeterlidir.

Bu artık boşluk CVE-2026-32202 oldu. Microsoft, 14 Nisan'daki Nisan Salı Yaması'nda bu hatayı yamalamış, ancak o sırada hatalı olarak işaretlemiş ve herhangi bir istismar bayrağı koymamıştır. 27 Nisan'da Microsoft, istismar edilebilirlik endeksini düzeltmek ve aktif istismarı doğrulamak için danışmanlığı güncelledi. CISA bugün bunu KEV kataloğuna ekledi.

CVSS puanı neden yanıltıcıdır?

CVE-2026-32202, 4.3 CVSS puanı ile orta önem derecesi aralığında yer almaktadır. Bu sayı gerçek riski olduğundan az göstermektedir. Çalınan NTLMv2 hash'i aynı ağdaki diğer sistemlerde ele geçirilen kullanıcı olarak kimlik doğrulaması yapmak için aktarma saldırılarında kullanılabilir veya düz metin parolasını kurtarmak için çevrimdışı olarak kırılabilir.

Uygulamada, saldırı zinciri bir düşmana sadece sınırlı bir bilgi ifşası değil, yanal hareket ve ayrıcalık yükseltme için bir yol sağlar.

Düzeltme, Windows 11 sürüm 24H2 ve 25H2 için KB5083769 Nisan 2026 toplu güncellemesine dahil edilmiştir. Bu, şu anda HP ve Dell makinelerinin bir alt kümesinde önyükleme döngülerine neden olan güncellemenin aynısıdır. Güncellemeyi henüz uygulamamış olan kullanıcılar, onaylanmış bir sıfır tıklama kimlik bilgisi hırsızlığı vektörüne maruz kalmaya devam etmektedir. KB5083769 önyükleme döngüsü sorununa yakalanan herkes güncellemeyi uygulamadan önce Microsoft'un kurtarma kılavuzunu takip etmelidir.

Garip bir şekilde Microsoft öyle, zorla yükseltme yönetilmeyen Windows 11 24H2 bilgisayarları 13 Ekim'deki destek sonu öncesinde 25H2'ye yükseltti, ancak KB5083769 hala bazı makineleri kurtarılamayan önyükleme döngülerine gönderiyor.

Please share our article, every link counts!
Mail Logo

İlgili makaleler

> Notebooklar Hakkında Aradığınız Herşey > Haberler > Haber Arşivi > Haber arşivi 2026 04 > Windows sıfır gün CVE-2026-32202'nin istismar edildiği doğrulandı
Darryl Linington, 2026-04-29 (Update: 2026-04-29)