CISA naredila saveznim agencijama da zakrpe Windows ranjivost koju napadači koriste kao zero-day

Američka agencija za kibernetičku sigurnost CISA naredila je saveznim agencijama da zakrpaju Windows sustave zbog ranjivosti CVE-2026-32202, koja se već koristi u zero-day napadima. Riječ je o propustu koji, prema opisu iz objave, omogućuje curenje NTLM hash podataka te može pomoći napadačima da se autentificiraju kao kompromitirani korisnik i nastave širenje kroz mrežu ili dođu do osjetljivih podataka.

Prema navodima iz izvora, problem je prijavila tvrtka Akamai, a ranjivost je povezana s ranije nedovršenom zakrpom za udaljeno izvršavanje koda CVE-2026-21510 iz veljače. Microsoft je naveo da udaljeni napadači mogu iskoristiti CVE-2026-32202 slanjem zlonamjerne datoteke koju žrtva mora pokrenuti, nakon čega na nezaštićenim sustavima mogu vidjeti dio osjetljivih informacija. Akamai je dodatno pojasnio da se propust može zloupotrijebiti u pass-the-hash napadima, u kojima se ukradeni hash koristi za prijavu bez stvarne lozinke.

CISA je u utorak dodala CVE-2026-32202 u svoj katalog Known Exploited Vulnerabilities (KEV) i naložila tijelima u okviru Federal Civilian Executive Brancha da zakrpe Windows krajnje uređaje i poslužitelje u roku od dva tjedna, odnosno do 12. svibnja, u skladu s direktivom Binding Operational Directive 22-01. Agencija je upozorila da je takva vrsta propusta čest ulaz za zlonamjerne aktere i predstavlja značajan rizik za savezne sustave, uz napomenu da treba primijeniti ublažavanja prema uputama proizvođača ili prestati koristiti proizvod ako ublažavanje nije dostupno.

Iako se direktiva BOD 22-01 formalno odnosi na američke savezne agencije, CISA je i ostalim sigurnosnim timovima preporučila da što prije rasporede zakrpe za CVE-2026-32202 i osiguraju svoje mreže. To je posebno važno za organizacije koje se oslanjaju na Windows okruženja, jer napadi na NTLM vjerodajnice mogu dovesti do lateralnog kretanja unutar mreže, a ne samo do kompromitacije jednog računala.

U istom kontekstu izvor navodi da napadači aktivno iskorištavaju i tri nedavno objavljene Windows ranjivosti, nazvane BlueHammer, RedSun i UnDefend, s ciljem dobivanja SYSTEM ili povišenih administratorskih ovlasti, pri čemu za RedSun i UnDefend zakrpe još nisu objavljene. Microsoft je, prema istom izvještaju, CVE-2026-32202 naknadno označio kao ranjivost iskorištenu u napadima, nakon što je ranije u travanjskom Patch Tuesdayju bila navedena ocjena “Exploitation Detected”, ali ne i potvrda o iskorištavanju. Na dodatni upit o tome je li i grupa APT28 iskoristila i ovaj zero-click propust, iz Microsofta zasad nije stigao odgovor.