Neue Windows-Schwachstelle ohne Klicks ermöglicht Umgehung von Defender SmartScreen

Akamai-Forscher entdeckten die Kampagne im Januar 2026 und verfolgten den Infektionsvektor auf zwei verkettete Schwachstellen: CVE-2026-21513 (ein MSHTML-Exploit) und CVE-2026-21510 (ein Windows Shell SmartScreen-Bypass mit einem CVSS-Score von 8,8).

Windows Shell 0-Click-Schwachstelle ausgenutzt Der primäre Mechanismus des Angriffs missbraucht die Windows Shell Namespace Parsing Pipeline. APT28 bettete eine bösartige LinkTargetIDList-Struktur in die LNK-Datei ein, eine binäre IDList, die Windows Explorer parst und rendert, ähnlich der Anzeige.

Konzeptioneller Ablauf der Ausnutzung 2026-21510 (Quelle: akamai) Die IDList enthielt drei Schlüsselkomponenten: eine CLSID, die das COM-Objekt der Systemsteuerung darstellt, einen zweiten Eintrag für „alle Systemsteuerungselemente“ und eine dritte _IDCONTROLW-Struktur, die einen UNC-Pfad enthält, der auf den entfernten Server des Angreifers zeigt.

Als explorer.exe des Opfers diese LNK-Datei

Als explorer.exe des Opfers diese LNK-Datei parste, löste sie den bösartigen Pfad wie folgt auf: text ::{26EE0668-A00A-44D7-9371-BEB064C98683}\0\{GENERIERTE GUID DES UNC-PFADS} Dies veranlasste Windows, eine DLL zu laden, die als Systemsteuerung (CPL)-Komponente behandelt wurde, ohne dass eine SmartScreen- oder Mark of the Web (MotW)-Überprüfung ausgelöst wurde.

Microsoft behob CVE-2026-21510 während seines Patch Tuesdays im Februar 2026 und führte ein neues COM-Objekt namens ControlPanelLinkSite ein, das den CPL-Startpfad mit der Vertrauensprüf-Pipeline.

Der Patch führte ein neues fMask-Bit (0x08000000) ein, das die ShellExecute-Pipeline zwingt, IVerifyingTrust abzufragen, was letztendlich die SmartScreen-Überprüfung der digitalen Signatur und der Ursprungszone der CPL-Datei vor der Ausführung auslöst.

Moegliche Anwendungen

Mit seinem PatchDiff-AI-Analysewerkzeug bestätigte Akamai, dass der Fix den RCE-Vektor erfolgreich blockierte – nicht signierte oder entfernte CPLs wurden nicht mehr stillschweigend ausgeführt. Akamai-Forscher bemerkten jedoch etwas Entscheidendes: Die betroffene Maschine authentifizierte nach Anwendung des Patches immer noch beim Server des Angreifers.

Die ührte Vertrauensprüfung erfolgt während des ShellExecuteExW-Aufrufs am allerletzten Punkt der CPL-Startkette. Aber ein viel früherer Auslöser existiert in CControlPanelFolder::GetUIObjectOf – der Funktion, die Windows Explorer aufruft, um ein Icon für den CPL IDList-Eintrag zu extrahieren, wenn er den Inhalt eines Ordners rendert.

Tief in dieser Kette verursacht ein Aufruf , dass Windows den UNC-Pfad auflöst und eine SMB-Verbindung zu den Servern des Angreifers initiiert, sobald ein Ordner, der die bösartige LNK-Datei enthält, geöffnet wird – ohne dass ein Benutzerklick erforderlich ist. Wenn der UNC-Pfad aufgelöst wird (z.

Wie der Speicher funktioniert

B. \\attacker.com\ \payload.cpl ), löst Windows automatisch einen NTLM-Authentifizierungs-Handshake aus und überträgt den Net-NTLMv2-Hash des Opfers an den Server des Angreifers.

Diese Anmeldeinformation kann anschließend für NTLM-Relay-Angriffe oder Offline-Passwortknacken verwendet werden, alles ohne jegliche Benutzerinteraktion über die Navigation zu dem kompromittierten Ordner hinaus.

Dieser verbleibende Fehler wurde als CVE-2026-32202 (CVSS: 4.3) klassifiziert und offiziell als „Ausfall des Schutzmechanismus in Windows Shell“ beschrieben, der es einem unbefugten Angreifer ermöglicht, über ein Netzwerk Spoofing durchzuführen.

Organisationen sollten die Updates 2026 umgehend

Organisationen sollten die Updates 2026 umgehend anwenden, um CVE-2026-32202 zu beheben. Sicherheitsteams sollten außerdem auf ausgehenden SMB-Verkehr zu externen Hosts überwachen und Einschränkungen für NTLMv2 durchsetzen oder, wo möglich, auf Kerberos-only-Authentifizierung umstellen.

Da Microsoft diese Schwachstelle als aktiv ausgenutzt in der Wildnis eingestuft hat, sollten Verteidiger ungepatchte Systeme als Hochrisiko-Exposition behandeln, insbesondere in Umgebungen, in denen LNK-Dateien über freigegebene Ordner oder Netzlaufwerke durchlaufen.

Dieser Vorfall dient als scharfe Erinnerung daran, dass unvollständige Patches sekundäre Angriffsflächen einführen können.

Die Lücke zwischen der Pfadauflösung

Die Lücke zwischen der Pfadauflösung und der Vertrauensprüfung in der Windows Shell Pipeline, die zuerst von APT28 und später , unterstreicht die Notwendigkeit gründlichen Patch-Diffings und Regressionstests nach dem Fix, bevor eine Schwachstelle als vollständig behoben eingestuft wird.

Sie uns auf

Der Beitrag New Windows 0-Click Vulnerability Exploited to Bypass Defender SmartScreen erschien zuerst bei Cyber Security News.