Bản vá Windows chưa hoàn chỉnh mở cửa cho các cuộc tấn công Zero-Click

Một bản vá lỗi chưa hoàn chỉnh cho tính năng Windows SmartScreen và Windows Shell đã vô tình tạo ra một lỗ hổng bảo mật mới, cho phép tin tặc thực hiện các cuộc tấn công zero-click (không cần tương tác của người dùng). Theo báo cáo từ Akamai, lỗ hổng ban đầu được theo dõi dưới mã số CVE-2026-21510 đã được Microsoft vá vào tháng 2 năm 2026. Tuy nhiên, việc khắc phục không triệt để đã dẫn đến sự xuất hiện của CVE-2026-32202, một lỗ hổng ép buộc xác thực nguy hiểm.

Màn hình xanh chết chóc Windows

Nhóm hacker APT28 tận dụng sơ hở bảo mật

Akamai xác nhận rằng nhóm hacker APT28, còn được gọi là Fancy Bear và có liên kết với Nga, đã tích cực khai thác các lỗ hổng này trong các cuộc tấn công nhắm vào Ukraine và các nước Liên minh Châu Âu (EU) vào tháng 12 năm 2025. Chiến dịch này sử dụng các tệp lối tắt (.lnk) đã bị vũ khí hóa để xâu chuỗi hai lỗ hổng CVE-2026-21513 và CVE-2026-21510, qua đó vượt qua các tính năng bảo mật của Windows và đạt được quyền thực thi mã từ xa (RCE).

Microsoft từng cảnh báo về việc CVE-2026-21510 bị khai thác dưới dạng zero-day, nhưng không cung cấp chi tiết cụ thể về các cuộc tấn công tại thời điểm đó.

Cơ chế tấn công đánh cắp thông tin đăng nhập

Vấn đề cốt lõi nằm ở việc bản vá tháng 2 chỉ giảm thiểu đường dẫn thực thi mã (RCE) bằng cách bắt buộc xác minh chữ ký số và vùng nguồn của tệp qua SmartScreen. Tuy nhiên, Akamai chỉ ra rằng "máy nạn nhân vẫn đang xác thực đến máy chủ của kẻ tấn công".

Quy trình xác thực này được kích hoạt ở giai đoạn đầu của chuỗi khởi chạy, trước khi SmartScreen kịp can thiệp. Cụ thể:

• Khi Windows Explorer hiển thị nội dung của thư mục chứa tệp LNK độc hại, nó sẽ yêu cầu shell32 tìm nạp biểu tượng từ một đường dẫn UNC (máy chủ từ xa).
• Yêu cầu này kích hoạt kết nối Server Message Block (SMB) đến máy chủ của tin tặc mà không cần người dùng phải thực hiện bất kỳ hành động nào.
• Kết nối này tự động khởi động bắt tay xác thực NTLM, gửi băm Net-NTLMv2 của nạn nhân cho kẻ tấn công.

"Chúng tôi sau đó đã phát hiện ra một bản vá chưa hoàn chỉnh và tiết lộ cho Microsoft. Lỗ hổng mới, CVE-2026-32202, khiến nạn nhân xác thực máy chủ của kẻ tấn công mà không cần sự tương tác của người dùng (zero click)," đại diện Akamai cho biết.

Các băm thông tin này sau đó có thể được sử dụng cho các cuộc tấn công chuyển tiếp NTLM (NTLM relay) hoặc bẻ khóa ngoại tuyến (offline cracking), gây ra rủi ro nghiêm trọng về bảo mật.

Microsoft đã phát hành các bản sửa lỗi cho CVE-2026-32202 trong bản cập nhật bảo mật tháng 4 năm 2026. Cố vấn bảo mật của hãng đã gắn cờ lỗi này là "đã bị khai thác", mặc dù không đi sâu vào chi tiết các cuộc tấn công cụ thể. Người dùng được khuyến cáo cập nhật hệ thống ngay lập tức để ngăn chặn nguy cơ bị xâm nhập.