Коротко: В июле 2026 года CISA и Microsoft предупредили об активной эксплуатации уязвимости проводника Windows CVE-2026-32202. Она позволяет украсть хеш пароля пользователя (Net-NTLMv2) без единого клика — достаточно открыть папку, в которой лежит вредоносный ярлык. Похищенный хеш затем используют для атак повторного воспроизведения (NTLM relay) и офлайн-подбора пароля. Установите июльские обновления и не пускайте SMB-трафик в недоверенные сети.
Что произошло
CVE-2026-32202 — это уязвимость «спуфинга» в оболочке Windows (Windows Shell). Формально её рейтинг невысок (CVSS 4,3 из 10), но опасна она тем, что уже применяется в реальных атаках. По данным на июль 2026 года, эксплуатацию подтвердили и Microsoft, и американское агентство кибербезопасности CISA.
Корень проблемы — неполное исправление более ранней уязвимости CVE-2026-21510, которую Microsoft закрыла ещё в феврале 2026 года. Тот патч остановил запуск кода и обход SmartScreen, но не помешал компьютеру жертвы самому «сходить» на сервер злоумышленника. Полное исправление вышло 14 апреля 2026 года, но его не пометили как «эксплуатируемое», поэтому многие администраторы не восприняли угрозу всерьёз. Если вы отвечаете за учётные записи, начните с базовой гигиены — из нашего разбора как защитить аккаунт от взлома.
Как устроена атака без клика
Атаке не нужны ни двойной клик, ни запуск файла. Злоумышленник подкладывает вредоносный ярлык (файл .LNK) — например, в папку, полученную по почте или загруженную из интернета. Ярлык ссылается на сетевой путь вида \\attacker.com\share\icon. Как только проводник Windows отрисовывает эту папку, чтобы показать иконку ярлыка, он сам разбирает путь и открывает SMB-соединение к серверу злоумышленника.
Это соединение запускает автоматический обмен аутентификацией по NTLM, и устройство отдаёт свой хеш Net-NTLMv2 — криптографическое «доказательство» вашей учётной записи Windows. Дальше злоумышленник может воспроизвести его против других систем (атака NTLM relay) или подобрать пароль офлайн. По данным исследователей, лежащий в основе приём используют как минимум с декабря 2025 года, и это близкий родственник кражи учётных данных, стоящей за крупными утечками паролей, о которых мы писали ранее.
Чем это опасно для ваших данных
Утёкший хеш пароля — это отмычка. Если пароль короткий или используется повторно, офлайн-подбор превращает хеш в ваш настоящий пароль за считаные часы, открывая доступ к почте, рабочим системам и облачным хранилищам. Даже без подбора атака relay позволяет злоумышленнику действовать «от вашего имени» во внутренних сервисах. А поскольку клик не нужен, достаточно один раз открыть папку на скомпрометированном ресурсе — и нет очевидного момента «я запустил что-то не то», который бы вас насторожил.
Хуже всего в недоверенных сетях. В публичном или общем Wi-Fi SMB-запрос, ушедший в интернет, можно перехватить или перенаправить, отправив ваш хеш прямиком постороннему. Это тот же класс риска, что мы разбираем в материале о том, как крадут данные в публичном Wi-Fi.
Как защититься
Установите свежие обновления Windows. Накатите июльский Patch Tuesday 2026 и апрельское исправление CVE-2026-32202. Именно неполное латание позволило дыре выжить, поэтому не пропускайте кумулятивные обновления.
Заблокируйте исходящий SMB (порт 445). Домашнему пользователю SMB почти никогда не нужен для выхода в интернет. Блокировка исходящего порта 445 в фаерволе не даёт вредоносному ярлыку вообще достучаться до сервера злоумышленника. Где место каждого уровня защиты — в нашем обзоре, как связаны VPN, антивирус и фаервол.
Используйте VPN в недоверенных сетях. В Wi-Fi отеля, кафе или аэропорта шифрованный туннель уводит случайный SMB- и аутентификационный трафик от локальных наблюдателей. LiMP VPN — no-logs-сервис для iOS и Android; смотрите возможности и тарифы.
Усильте сам пароль. Используйте длинные уникальные пароли и, где возможно, устойчивый к фишингу вход — например, ключи доступа (passkeys), — чтобы украденный хеш было куда труднее применить.
Источники
Материал основан на предупреждениях об активной эксплуатации от CISA и Microsoft, о которых написали The Hacker News и Help Net Security, а по-русски — CNews (9 июля 2026).
