APT28將Windows Shell欺騙漏洞用於實際攻擊

本週微軟、美國網路安全暨基礎設施安全局（CISA）證實，CVSS風險僅有4.3分的Windows Shell資安漏洞CVE-2026-32202被用於實際攻擊，但他們並未進一步說明如何被利用，有資安公司透露，此漏洞已遭俄羅斯駭客APT28（Fancy Bear、UAC-0001）利用。

資安公司Akamai指出，此漏洞與微軟2月修補的Windows Shell安全功能繞過漏洞CVE-2026-21510有關，由於修補不完整而導致有弱點，事實上，微軟當時提供的修補程式確實阻止了SmartScreen繞過，並讓攻擊者無法再用來遠端執行任意程式碼，卻留下零點擊強制身分驗證的弱點，也就是上述的CVE-2026-32202。

而Akamai所謂的漏洞利用活動，就是兩個月前公布APT28攻擊烏克蘭與數個歐盟國家的活動，當時Akamai指出駭客利用惡意LNK檔案觸發CVE-2026-21513，但實際上，還有另一個漏洞也被利用，那就是CVE-2026-21510，由於Akamai發現修補不完整，並未在調查報告透露此事。

Akamai表示，駭客同時在LNK檔案利用了CVE-2026-21510與CVE-2026-21513，至於利用CVE-2026-21510的目的，主要是為了繞過SmartScreen安全功能，使APT28得以執行存放於遠端伺服器的攻擊程式碼，透過Windows Shell名稱空間解析機制，經由UNC路徑而從遠端伺服器載入DLL檔。