New Windows 0-Click Vulnerability Exploited to Bypass Defender SmartScreen
2026/04/28 CyberSecurityNews — Windows Shell に存在する、深刻なゼロ・クリック認証強制の脆弱性 CVE-2026-32202 の悪用が確認されている。この脆弱性は、セキュリティ機能バイパスに対する不完全なパッチに起因するものであり、ロシア系 APT28 による実環境での悪用が報告されている。すでに Microsoft は、この脆弱性の実環境での悪用を確認しており、2026年4月の Patch Tuesday 更新の一部として修正を提供している。
CERT-UA によると、2025年12月に APT28 (Fancy Bear/Forest Blizzard/Pawn Storm) は LNK (Windows ショートカット) ファイルの悪用を介して、ウクライナおよび複数の EU 諸国に対する標的型の攻撃キャンペーンを展開した。
このキャンペーンは、2026年1月に Akamai の研究者たちにより検知され、CVE-2026-21513 (MSHTML エクスプロイト) と CVE-2026-21510 (CVSS 8.8:Windows Shell SmartScreen バイパス) の連鎖に感染経路があると特定された。
Windows Shell のゼロ・クリック脆弱性の悪用
この攻撃の主要メカニズムは、Windows Shell のネーム・スペース解析パイプラインの悪用であり、APT28 により、LNK ファイル内に悪意の LinkTargetIDList 構造が埋め込まれた。この IDList は、Windows Explorer が解析/描画するバイナリ ID リストであり、Control Panel 項目の表示と同様に処理される。
この IDList は 3つの主要要素で構成される。具体的には、Control Panel COM オブジェクトを示す CLSID/すべての Control Panel 項目を指すエントリ/攻撃者のリモート・サーバを指す UNC パスなどが含まれる _IDCONTROLW 構造である。
この LNK ファイルを “explorer.exe” が解析すると、以下のパスが解決される:
text::{26EE0668-A00A-44D7-9371-BEB064C98683}\0\{GENERATED GUID OF THE UNC PATH}
この処理により、Control Panel (CPL) コンポーネントとしての DLL が、攻撃者が制御するサーバから読み込まれる。その結果、SmartScreen および Mark of the Web (MotW) の検証が回避される。
Microsoft は 2026年2月の Patch Tuesday において CVE-2026-21510 に対処し、ControlPanelLinkSite と呼ばれる新しい COM オブジェクトを導入した。この修正は CPL の起動経路を ShellExecute の信頼検証パイプラインへと接続するものである。さらに、新たな fMask ビット (0x08000000) が導入され、ShellExecute が IVerifyingTrust を呼び出すことで、CPL ファイルのデジタル署名および発信元ゾーンの検証が実行されるようになった。
Akamai の PatchDiff-AI 分析により、この修正が RCE ベクターを遮断したことが確認された。それにより、未署名またはリモートの CPL は静的に実行されなくなった。しかし、深刻な問題が残存していた。パッチ適用後も、被害端末から攻撃者のサーバに対して、認証が行われていることが判明した。
未修正の認証強制フロー
Microsoft が導入した信頼検証は、実行チェーンの最終段階である ShellExecuteExW の呼び出し時に発動するが、実際には、それよりも早い段階に攻撃のトリガーが存在する。具体的には、フォルダ描画時に Windows Explorer が CPL アイテムのアイコンを取得しようとして、CControlPanelFolder::GetUIObjectOf 関数を呼び出す際に、この検証を介さずに処理が進行してしまう。
つまり、GetModuleMapped 内の PathFileExistsW が呼び出されることで、フォルダを開いた瞬間に UNC パスが解決されてしまう。その結果、ユーザーのクリック操作なしに SMB 接続が開始される。
UNC パス (例: \\attacker.com\share\payload.cpl) の解決時に、Windows は自動的に NTLM 認証ハンドシェイクを実行し、被害者の Net-NTLMv2 ハッシュを攻撃者サーバへ送信する。つまり、この認証情報が、NTLM リレー攻撃/オフライン・パスワード・クラッキングに悪用される可能性があり、フォルダを閲覧するユーザー操作のみで攻撃が成立する。
脆弱性 CVE-2026-32202 (CVSS: 4.3) が残存しており、Windows Shell における保護メカニズムの欠陥により、ネットワーク経由のなりすまし攻撃が可能になる。
対策
ユーザー組織にとって必要なことは、Microsoft の 2026年4月 Patch Tuesday を直ちに適用することだ。セキュリティ・チームは、外部ホストへのアウトバウンド SMB 通信を監視し、NTLMv2 の制限適用または Kerberos のみの認証への移行を検討すべきだ。
また、Microsoft は、この脆弱性が実際に悪用されていると明示しているため、最優先リスクとして未パッチ・システムを扱う必要がある。共有フォルダやネットワーク・ドライブを通じて、LNK ファイルが流通する環境では特に注意する必要がある。
このインシデントが示すのは、不完全なパッチが二次的な攻撃対象領域を生み出す可能性である。APT28 による悪用と Akamai による検知で明らかになった、Windows Shell パイプラインにおけるパス解決と信頼検証のギャップは、パッチ差分検証と修正後の回帰テストの重要性を示している。
訳者後書:今回の脆弱性 CVE-2026-32202 は、プログラムの実行を止める修正だけでは不十分だったことが原因で発生しました。 Microsoft は、以前のパッチで不正なプログラムが動かないように対策しましたが、信頼検証が行われるより前の段階で、Windows Explorer がアイコンを表示しようとする際に、ネットワーク上のパスを確認しにいってしまう仕組みが残っていました。その結果、ファイルを開こうとするだけで NTLM 認証の情報が攻撃者に送られてしまうという、認証強制の脆弱性が解明されました。ご利用のチームは、ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.