米 CISA は 4 月 28 日、Microsoft Windows Shell のゼロクリック脆弱性 CVE-2026-32202 を Known Exploited Vulnerabilities (KEV) カタログに追加し、連邦行政機関に対して 5 月 12 日までのパッチ適用を Binding Operational Directive 22-01 に基づき命じました。CVSS は 4.3 ですが実環境での悪用が確認されています。
主なポイント
- 同脆弱性は Akamai が公表したもので、2 月の CVE-2026-21510 修正が不完全だったことに起因。攻撃者が用意した .lnk ファイルを含むフォルダを閲覧するだけで標的端末から NTLMv2 ハッシュが流出する。
- 詐取したハッシュは NTLM リレー攻撃や、オフラインクラックによる平文パスワード復元に利用可能。同一ネットワーク内での横展開リスクが高い。
- 元となった CVE-2026-21510 は 2025 年 12 月以降、ロシアの APT28(Fancy Bear)がウクライナや EU 諸国への攻撃で悪用していたとされる。
- CISA は連邦機関以外にも全組織に対し、可能な限り早くパッチを適用するよう求めている。
出典: CISA orders feds to patch Windows flaw exploited as zero-day (BleepingComputer)