Windows dziurawy jak sito. Microsoft nie nadąża łatać luk przed hakerami z Rosji

Microsoft po raz kolejny znalazł się w niekomfortowej sytuacji. Poprawka bezpieczeństwa przygotowana dla jednej z aktywnie wykorzystywanych luk typu zero-day w systemie Microsoft Windows okazała się niewystarczająca, a cyberprzestępcy już zaczęli korzystać z nowego sposobu ataku. Tym razem zagrożenie dotyczy błędu oznaczonego jako CVE-2026-32202, który według ekspertów może umożliwiać przejęcie poufnych danych bez jakiejkolwiek interakcji ze strony ofiary.

Ostrzeżenie pojawiło się jednocześnie ze strony Microsoft oraz amerykańskiej Cybersecurity and Infrastructure Security Agency. Obie instytucje potwierdziły, że luka jest już wykorzystywana w rzeczywistych atakach, a administratorzy systemów otrzymali pilne zalecenie natychmiastowej instalacji nowych aktualizacji.

Jedna poprawka, nowa furtka dla atakujących

Nowa luka nie pojawiła się przypadkiem. Badacze bezpieczeństwa wskazują, że CVE-2026-32202 narodziła się po wcześniejszej aktualizacji wydanej przez Microsoft w lutym. Tamta łatka miała zamknąć inną podatność, znaną jako CVE-2026-21510, która wcześniej była wykorzystywana przez rosyjską grupę APT28, znaną również jako Fancy Bear.

Eksperci odkryli, że chociaż pierwotna poprawka blokowała najbardziej niebezpieczny scenariusz zdalnego uruchomienia kodu, pozostawiła inny mechanizm umożliwiający wymuszenie uwierzytelnienia użytkownika. W praktyce komputer ofiary nadal może automatycznie przesłać dane logowania do serwera kontrolowanego przez napastnika.

To właśnie ten element wzbudził największy niepokój w środowisku bezpieczeństwa. Atakujący nie potrzebuje otwierania pliku ani kliknięcia linku przez użytkownika. Wystarczy odpowiednio przygotowany plik systemowy, aby system sam nawiązał połączenie.

Atak bez kliknięcia staje się realnym zagrożeniem

Najgroźniejszą częścią nowego scenariusza jest fakt, że użytkownik może nie zauważyć niczego podejrzanego. Luka dotyczy powłoki Windows i sposobu obsługi plików skrótów LNK, które od lat są popularnym narzędziem w atakach wymierzonych w systemy Microsoftu.

Według analityków napastnik może przechwycić skróty Net-NTLMv2, czyli dane uwierzytelniające używane podczas logowania do usług sieciowych. Taki zestaw informacji może później posłużyć do poruszania się po sieci firmowej, uzyskania dostępu do dokumentów lub dalszego szpiegowania organizacji. Dla wielu firm oznacza to bardzo niebezpieczny scenariusz, ponieważ pojedyncza podatność może otworzyć drogę do rozległego naruszenia infrastruktury.

Trop prowadzi do rosyjskich operacji

Microsoft nie wskazał oficjalnie sprawców obecnych ataków, jednak wcześniejsze incydenty związane z podobnymi lukami prowadziły do grup powiązanych z rosyjskim wywiadem. W poprzednich kampaniach APT28 atakowała instytucje publiczne w Ukrainie oraz krajach Unii Europejskiej.

Tamte operacje zaczynały się od wiadomości phishingowych podszywających się pod oficjalne komunikaty. Następnie wykorzystywano kombinację kilku luk w Windowsie, by ominąć mechanizmy ochronne systemu, w tym Microsoft Defender SmartScreen.

Nowa podatność może dać cyberprzestępcom kolejne narzędzie do prowadzenia podobnych działań.

CISA wydaje pilne zalecenie

Amerykańska agencja CISA bardzo szybko dopisała CVE-2026-32202 do katalogu najgroźniejszych aktywnie wykorzystywanych luk. Federalne instytucje w USA dostały konkretny termin na wdrożenie poprawek, co pokazuje skalę zagrożenia dostrzeżoną przez służby. Tak szybka reakcja rzadko pojawia się bez powodu. Gdy luka trafia do oficjalnego katalogu CISA, zwykle oznacza to, że zagrożenie nie jest już teoretyczne i zostało potwierdzone w prawdziwych incydentach.

Microsoft znów tłumaczy się z jakości poprawek

Dla Microsoftu to kolejna sytuacja, która rodzi pytania o skuteczność procesu łatania systemu Windows. Administratorzy coraz częściej zwracają uwagę, że część aktualizacji naprawia jeden problem, pozostawiając miejsce na następny. W świecie cyberbezpieczeństwa takie przypadki są szczególnie niebezpieczne, ponieważ atakujący bardzo dokładnie analizują każdą opublikowaną poprawkę. Niekiedy właśnie nowa aktualizacja wskazuje im, gdzie szukać kolejnej słabości.