Microsoft revisó el lunes su aviso sobre una falla de seguridad de alta gravedad ahora parcheada que afecta a Windows Shell para reconocer que ha sido explotada activamente en la naturaleza.

La vulnerabilidad en cuestión es CVE-2026-32202 (Puntuación CVSS: 4,3), una vulnerabilidad de suplantación de identidad que podría permitir a un atacante acceder a información confidencial. Se abordó como parte de su actualización del martes de parches para este mes.

«La falla del mecanismo de protección en Windows Shell permite que un atacante no autorizado realice suplantación de identidad en una red», Microsoft anotado en una alerta. «Un atacante tendría que enviar a la víctima un archivo malicioso que la víctima tendría que ejecutar».

«Un atacante que aprovechó con éxito la vulnerabilidad podría ver cierta información confidencial (Confidencialidad), pero no todos los recursos dentro del componente afectado pueden ser divulgados al atacante. El atacante no puede realizar cambios en la información divulgada (Integridad) ni limitar el acceso al recurso (Disponibilidad)».

El 27 de abril de 2026, Microsoft dijo que rectificó el «Índice de explotabilidad, el indicador de explotación y el vector CVSS» porque eran incorrectos cuando se publicaron el 14 de abril.

Si bien el gigante tecnológico no compartió ningún detalle sobre la actividad de explotación, el investigador de seguridad de Akamai, Maor Dahan, a quien se le atribuye el descubrimiento y el informe del error, dijo que la vulnerabilidad de clic cero se debe a un parche incompleto para CVE-2026-21510.

Este último ha sido utilizado como arma por un grupo de estado-nación ruso rastreado como APT28 (también conocido como Fancy Bear, Forest Blizzard, GruesomeLarch y Pawn Storm) junto con CVE-2026-21513 como parte de una cadena de exploits.

• CVE-2026-21510 (Puntuación CVSS: 8,8): una falla en el mecanismo de protección en Windows Shell que permite a un atacante no autorizado eludir una característica de seguridad en una red. (Solucionado por Microsoft en febrero de 2026)
• CVE-2026-21513 (Puntuación CVSS: 8,8): una falla en el mecanismo de protección en MSHTML Framework que permite a un atacante no autorizado eludir una característica de seguridad en una red. (Solucionado por Microsoft en febrero de 2026)

Vale la pena señalar que el abuso de CVE-2026-21513 también fue señalado por la compañía de seguridad e infraestructura web a principios del mes pasado, vinculándolo con APT28 después de descubrir un artefacto malicioso en enero de 2026.

CVE-2026-21510 Explotación

La campaña, dirigida a Ucrania y los países de la UE en diciembre de 2025, aprovecha un archivo malicioso de acceso directo de Windows (LNK) para explotar las dos vulnerabilidades, evitando efectivamente Microsoft Defender SmartScreen y permitiendo la ejecución de código controlado por atacantes.

«APT28 aprovecha el mecanismo de análisis del espacio de nombres del Shell de Windows para cargar una biblioteca de vínculos dinámicos (DLL) desde un servidor remoto utilizando una ruta UNC», Dahan explicado. «La DLL se carga como parte del Panel de control (CPL) objetos sin la validación adecuada de la zona de red.

Akamai dijo que el parche de febrero de 2026, si bien mitigaba el riesgo de ejecución remota de código al activar una verificación SmartScreen de la firma digital y la zona de origen del archivo CPL, aún permitía que la máquina víctima se autenticara en el servidor del atacante y recuperara automáticamente el archivo CPL resolviendo la Convención de nomenclatura universal (UNC) ruta e iniciar una conexión SMB sin requerir interacción del usuario.

«Cuando esa ruta es una ruta UNC (como ‘\\attacker.com\share\payload.cpl’), Windows inicia una conexión SMB con el servidor del atacante», dijo Dahan. «Esta conexión de bloque de mensajes del servidor (SMB) activa un protocolo de enlace de autenticación NTLM automático, enviando el hash Net-NTLMv2 de la víctima al atacante, que luego puede usarse para ataques de retransmisión NTLM y craqueo fuera de línea».

«Aunque Microsoft solucionó el RCE inicial (CVE-2026-21510), persistió una falla de coerción de autenticación (CVE-2026-32202). Esta brecha entre la resolución de ruta y la verificación de confianza dejó un vector de robo de credenciales sin hacer clic a través de archivos LNK analizados automáticamente».