A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) emitiu uma ordem para que agências federais corrijam seus sistemas Windows contra uma vulnerabilidade, rastreada como CVE-2026-32202, explorada em ataques do tipo zero-day. A falha de segurança foi reportada pela empresa de cibersegurança Akamai, que a descreveu como um vazamento de hash NTLM de zero-clique, deixado após a Microsoft ter corrigido de forma incompleta uma falha de execução remota de código (CVE-2026-21510) em fevereiro.
Exploração ativa e riscos
De acordo com a equipe de resposta a emergências computacionais da Ucrânia (CERT-UA), o grupo de ciberespionagem russo APT28 (também conhecido como UAC-0001 e Fancy Bear) explorou a vulnerabilidade CVE-2026-21510 em ataques contra a Ucrânia e países da União Europeia em dezembro de 2025. A exploração fez parte de uma cadeia que também visou uma falha do tipo arquivo LNK (CVE-2026-21513). A Microsoft afirmou que atacantes remotos que explorem com sucesso a falha CVE-2026-32202, em ataques de baixa complexidade ao enviar “um arquivo malicioso que a vítima teria que executar”, poderiam “exibir algumas informações confidenciais” em sistemas sem correção.
A Akamai explicou ainda, em um relatório publicado na quinta-feira (data do comunicado da Akamai não informada no texto fonte), que a falha pode ser explorada em ataques do tipo “pass-the-hash” para roubar hashes NTLM (senhas com hash). Os hashes são usados posteriormente para autenticação como o usuário comprometido, permitindo que os invasores se movimentem lateralmente pela rede ou roubem dados sensíveis, segundo a empresa de segurança.
Prazo para correção
Na terça-feira (data referente a 27 ou 28 de abril, conforme contexto da notícia), a CISA adicionou a CVE-2026-32202 ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). A agência ordenou que os órgãos do Poder Executivo Civil Federal (FCEB) dos EUA corrijam seus terminais e servidores Windows no prazo de duas semanas, até 12 de maio, conforme determina a Diretiva Operacional Vinculante (BOD) 22-01. “Este tipo de vulnerabilidade é um vetor de ataque frequente para atores cibernéticos maliciosos e representa riscos significativos para a empresa federal”, alertou a agência de segurança. A CISA também instou todas as equipes de segurança a priorizar a aplicação de correções para a CVE-2026-32202 e proteger suas redes o mais rápido possível.
