Microsoft bekræfter aktiv udnyttelse af Windows Shell-sårbarhed

Eskil Sørensen

04.28.2026 17:14

Den lave score på 4,3 kan give falsk tryghed – og har sandsynligvis bidraget til, at sårbarheden er blevet udnyttet uden større opmærksomhed.

Microsoft har bekræftet, at en sårbarhed i Windows Shell, CVE-2026-32202, aktivt bliver udnyttet i angreb. Sårbarheden blev lukket med april måneds Patch Tuesday, men fik begrænset bevågenhed, formentlig fordi den kun er vurderet til CVSS 4,3. EPSS-scoren er pt. på 0,09 pct.

Det skriver The Hacker News.

Ifølge Microsoft er der tale om en spoofing-sårbarhed, som gør det muligt for en uautoriseret angriber at få adgang til visse følsomme oplysninger. Angrebet kræver, at offeret eksekverer en ondsindet fil, men påvirker hverken integritet eller tilgængelighed – en af hovedårsagerne til den lave score.

Den 27. april oplyste Microsoft, at virksomheden havde rettet både Exploitability Index, Exploited-flag og CVSS-vektor, da disse var fejlbehæftede i den oprindelige advisering fra 14. april. Først herefter blev det tydeligt, at sårbarheden reelt udnyttes “in the wild”.

Sårbarheden blev opdaget af Akamais forsker Maor Dahan, som peger på, at CVE-2026-32202 er en rest fra en ufuldstændig patch af CVE-2026-21510. Denne – sammen med CVE-2026-21513 – har tidligere indgået i en exploit-kæde anvendt af den russiske trusselsaktør APT28. Begge havde CVSS-score på 8,8 og blev lukket i februar 2026.

Angrebene har blandt andet udnyttet manipulerede LNK-filer til at omgå Microsoft Defender SmartScreen. Selvom februar-patchen fjernede risikoen for fjernudførelse af kode, efterlod den et hul: Windows kunne fortsat automatisk forsøge at hente Control Panel-filer via UNC-stier.

Det er her CVE-2026-32202 kommer ind. Når Windows resolver en UNC-sti, oprettes automatisk en SMB-forbindelse, som udløser en NTLM-autentificering. Resultatet er, at offerets Net-NTLMv2-hash sendes til angriberen, hvilket kan misbruges til relay-angreb eller offline cracking.

Effekten er indirekte og støjsvag – og netop derfor falder sårbarheden let under radaren. CVSS-modellen fanger dårligt værdien af denne type adgang, selvom den kan være et vigtigt trin i større angreb.

CVE-2026-32202 er dermed et eksempel på, at lav CVSS-score ikke nødvendigvis betyder lav risiko.

Læs mere

https://thehackernews.com/2026/04/microsoft-confirms-active-exploitation.html

Sårbarhed