CVE-2026-32202

Суть уязвимости

CVE-2026-32202 представляет собой критический сбой механизма защиты в компоненте Microsoft Windows Shell. Уязвимость позволяет неавторизованному злоумышленнику осуществлять спуфинг (подмену данных или интерфейса) через сетевое соединение. Проблема заключается в некорректной обработке и верификации сетевых объектов или путей в оболочке Windows, что может привести к введению пользователя в заблуждение, перехвату учетных данных или выполнению произвольных действий от имени доверенного источника.

Как исправить

Основным методом устранения является установка официального накопительного обновления безопасности от Microsoft.

1. Откройте «Параметры» (Settings) -> «Обновление и безопасность» (Update & Security) -> «Центр обновления Windows» (Windows Update).
2. Нажмите «Проверить наличие обновлений» (Check for updates).
3. Установите все доступные исправления, относящиеся к Windows Shell и безопасности системы.
4. Перезагрузите компьютер для завершения процесса патчинга.

Для принудительного запуска поиска обновлений через PowerShell:

(New-Object -ComObject Microsoft.Update.AutoUpdate).DetectNow()

Временные меры

Если немедленная установка патчей невозможна, необходимо ограничить векторы атаки через сетевые протоколы и настройки оболочки.

1. Заблокируйте исходящий трафик по протоколам SMB (порт 445) за пределы корпоративной сети на межсетевом экране.
2. Отключите поддержку протокола LLMNR и NetBIOS через групповые политики (GPO), чтобы предотвратить локальный спуфинг имен.
3. Настройте политику «Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers» в значение «Deny all», если это не нарушает работу критических бизнес-процессов.

Команда для отключения LLMNR через реестр:

reg add "HKLM\Software\Policies\Microsoft\Windows NT\DNSClient" /v "EnableMulticast" /t REG_DWORD /d 0 /f

Команда для блокировки SMB трафика на уровне Windows Firewall:

netsh advfirewall firewall add rule name="Block Outbound SMB" dir=out action=block protocol=TCP localport=any remoteport=445