Уязвимость BDU:2026-05493 (CVE-2026-32202) Windows

Уязвимость CVE-2026-32202 (BDU:2026-05493) командной оболочки Shell операционной системы Windows связана с нарушением механизма защиты данных. Она возникла вследствие неполного исправления ранее уязвимости CVE-2026-21510. Оригинальная атака позволяла загрузить и выполнить произвольную DLL с удалённого SMB-сервера без проверки SmartScreen. Разработчики Microsoft закрыли вектор удалённого выполнения кода, добавив звено проверки доверия, но не учли, что само разрешение пути к CPL-файлу на этапе извлечения иконки инициирует SMB-сессию. Таким образом, удалённый злоумышленник без аутентификации может вынудить компьютер жертвы пройти NTLM-аутентификацию на подконтрольном ему сервере и получить Net-NTLMv2-хэш пользователя, что при дальнейшем развитии атаки способно привести к повышению привилегий в домене.

Анализ уязвимости

Уровень опасности: 4.3 (MEDIUM)

Вектор атаки: AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N

• AV:N (Вектор доступа: Сетевой) — уязвимость может эксплуатироваться через сеть
• AC:L (Сложность атаки: Низкая) — специальных условий для воспроизведения не требуется
• PR:N (Требуемые привилегии: Нет) — атакующему не нужна учётная запись на целевой системе
• UI:R (Взаимодействие с пользователем: Требуется) — жертва должна открыть папку, содержащую вредоносный ярлык
• S:U (Влияние на смежные системы: Не оказывает) — уязвимость затрагивает только тот компонент, где выполняется код
• C:L (Влияние на конфиденциальность: Низкое) — раскрывается ограниченный объём информации (Net-NTLMv2-хэш)
• I:N (Влияние на целостность: Отсутствует) — атакующий не может модифицировать данные
• A:N (Влияние на доступность: Отсутствует) — отказа в обслуживании не происходит

Условия эксплуатации

Для успешной эксплуатации злоумышленнику необходимо:

Продолжение статьи в закрытом канале на Sponsr.ru, а также:

• еженедельная рассылка технических деталей уязвимостей;
• детальные разборы уязвимостей;
• разбор уязвимости по запросу.