Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) έδωσε εντολή στις ομοσπονδιακές υπηρεσίες να προστατεύσουν τα συστήματα Windows τους από μια ευπάθεια που εκμεταλλεύεται σε επιθέσεις zero-day.
Παρακολούθηση ως CVE-2026-32202αυτό το ελάττωμα ασφαλείας αναφέρθηκε από την εταιρεία κυβερνοασφάλειας Akamai, η οποία το περιέγραψε ως ευπάθεια μηδενικού κλικ που έμεινε πίσω μετά την ατελή επιδιόρθωση της Microsoft σε ένα ελάττωμα εκτέλεσης απομακρυσμένου κώδικα (CVE-2026-21510) τον Φεβρουάριο.
Όπως αποκάλυψε το CERT-UA, η ρωσική ομάδα κυβερνοκατασκοπείας APT28 (γνωστή και ως UAC-0001 και Fancy Bear) αξιοποιήθηκε CVE-2026-21510 σε επιθέσεις κατά της Ουκρανίας και των χωρών της ΕΕ τον Δεκέμβριο του 2025 ως μέρος μιας αλυσίδας εκμετάλλευσης που στόχευε επίσης ένα ελάττωμα αρχείου LNK (CVE-2026-21513).
“Η Microsoft διόρθωσε το αρχικό RCE (CVE-2026-21510), παρέμεινε ένα ελάττωμα εξαναγκασμού ελέγχου ταυτότητας (CVE-2026-32202). Αυτό το κενό μεταξύ της ανάλυσης διαδρομής και της επαλήθευσης εμπιστοσύνης άφησε ένα διάνυσμα κλοπής διαπιστευτηρίων μηδενικού κλικ μέσω αρχείων LNK που αναλύθηκαν αυτόματα.” είπε ο Ακαμάι σε ρεπορτάζ της Πέμπτης.
Όπως εξηγεί η Microsoft, οι απομακρυσμένοι εισβολείς που εκμεταλλεύονται επιτυχώς την ευπάθεια σε επιθέσεις χαμηλής πολυπλοκότητας στέλνοντας «στο θύμα ένα κακόβουλο αρχείο που το θύμα θα έπρεπε να εκτελέσει», θα μπορούσαν να «βλέπουν ορισμένες ευαίσθητες πληροφορίες» σε μη επιδιορθωμένα συστήματα.
Η Microsoft επισήμανε το ελάττωμα CVE-2026-3220 ως εκμετάλλευση σε επιθέσεις την Κυριακή, αφού η BleepingComputer επικοινώνησε την περασμένη εβδομάδα για να ρωτήσει γιατί η συμβουλευτική που κυκλοφόρησε κατά την Τρίτη του Απριλίου 2026 είχε αξιολόγηση εκμεταλλευσιμότητας του ‘Exploitation Detected’ ενώ η ευπάθεια επισημάνθηκε ως μη αξιοποιημένη.
Ένας εκπρόσωπος της Microsoft δεν έχει απαντήσει ακόμη σε ένα δεύτερο μήνυμα ηλεκτρονικού ταχυδρομείου που ζητά περισσότερες πληροφορίες σχετικά με τις επιθέσεις CVE-2026-32202, συμπεριλαμβανομένου του εάν οι χάκερ του APT28 εκμεταλλεύτηκαν επίσης αυτήν την ευπάθεια μηδενικού κλικ.
Οι ομοσπονδιακοί εντολές έλαβαν εντολή να διορθώσουν έως τις 12 Μαΐου
Την Τρίτη, CISA προστέθηκε CVE-2026-32202 σε αυτήν Κατάλογος γνωστών εκμεταλλευόμενων ευπαθειών (KEV).διατάσσοντας τις υπηρεσίες του Federal Civilian Executive Branch (FCEB) να επιδιορθώσουν τα τελικά σημεία και τους διακομιστές των Windows εντός δύο εβδομάδων, έως τις 12 Μαΐου, σύμφωνα με την εντολή Δεσμευτική Επιχειρησιακή Οδηγία (ΔΣ) 22-01.
«Αυτός ο τύπος ευπάθειας είναι ένας συχνός φορέας επίθεσης για κακόβουλους φορείς του κυβερνοχώρου και ενέχει σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση», προειδοποίησε η υπηρεσία κυβερνοασφάλειας.
“Εφαρμόστε μέτρα μετριασμού ανά οδηγό προμηθευτή, ακολουθήστε τις ισχύουσες οδηγίες BOD 22-01 για υπηρεσίες cloud ή διακόψτε τη χρήση του προϊόντος εάν δεν υπάρχουν διαθέσιμα μέτρα αντιμετώπισης.”
Αν και το BOD 22-01 ισχύει μόνο για τις ομοσπονδιακές υπηρεσίες των ΗΠΑ, η CISA προέτρεψε όλες τις ομάδες ασφαλείας να δώσουν προτεραιότητα στην ανάπτυξη ενημερώσεων κώδικα για το CVE-2026-32202 και την ασφάλεια των δικτύων των οργανισμών τους το συντομότερο δυνατό.
Οι φορείς απειλών εκμεταλλεύονται επίσης ενεργά τρία τρωτά σημεία ασφαλείας των Windows που αποκαλύφθηκαν πρόσφατα (που ονομάστηκαν BlueHammer, RedSun και UnDefend) σε επιθέσεις που στοχεύουν στην απόκτηση SYSTEM ή αυξημένων προνομίων διαχειριστή, με τα δύο τελευταία να περιμένουν ακόμη ενημερώσεις κώδικα.
Η τεχνητή νοημοσύνη συνέδεσε τέσσερις ημέρες μηδέν σε ένα exploit που παρέκαμψε τόσο τα sandboxes του renderer όσο και του λειτουργικού συστήματος. Έρχεται ένα κύμα νέων κατορθωμάτων.
Στο Autonomous Validation Summit (12 & 14 Μαΐου), δείτε πώς η αυτόνομη, πλούσια σε περιβάλλον επικύρωση βρίσκει τι είναι εκμεταλλεύσιμο, αποδεικνύει ότι τα στοιχεία ελέγχου ισχύουν και κλείνει τον βρόχο αποκατάστασης.
VIA: www.bleepingcomputer.com
