Microsoft Konfirmasi Eksploitasi Aktif Kerentanan Windows Shell CVE-2026-32202

Microsoft mengonfirmasi adanya eksploitasi aktif terhadap kerentanan keamanan Windows Shell dengan kode CVE-2026-32202, yang telah diperbaiki pada pembaruan Patch Tuesday bulan April 2026. Kerentanan ini memungkinkan spoofing atau pemalsuan yang dapat diakses oleh penyerang tanpa interaksi pengguna langsung, membuka celah bagi pencurian data sensitif.

Detail Kerentanan CVE-2026-32202 dan Dampaknya

CVE-2026-32202, yang memiliki skor CVSS 4.3, merupakan kerentanan spoofing yang mengekspos informasi sensitif melalui kegagalan mekanisme proteksi di Windows Shell. Microsoft menyatakan dalam peringatannya:

"Kegagalan mekanisme proteksi di Windows Shell memungkinkan penyerang tidak berwenang melakukan spoofing melalui jaringan. Penyerang harus mengirimkan file berbahaya yang harus dieksekusi oleh korban."

Namun, meskipun penyerang dapat melihat beberapa informasi sensitif (konfidensialitas), mereka tidak dapat mengubah data tersebut (integritas) atau membatasi akses ke sumber daya (ketersediaan).

Pada tanggal 27 April 2026, Microsoft mengoreksi indeks eksploitasi, status eksploitasi, dan vektor CVSS yang sebelumnya salah pada pengumuman awal tanggal 14 April.

Kaitan dengan Kerentanan Sebelumnya dan Kelompok APT28

Akurasi terkait eksploitasi ini berasal dari peneliti keamanan Akamai, Maor Dahan, yang mengungkap bahwa celah ini merupakan akibat dari patch tidak lengkap atas kerentanan CVE-2026-21510 yang juga telah diperbaiki pada Februari 2026.

Kelompok negara-bangsa Rusia yang dikenal sebagai APT28 (Fancy Bear, Forest Blizzard, GruesomeLarch, Pawn Storm) telah menggunakan kombinasi CVE-2026-21510 dan CVE-2026-21513 sebagai rantai eksploitasi:

• CVE-2026-21510 (CVSS 8.8): Kegagalan proteksi di Windows Shell yang memungkinkan bypass fitur keamanan lewat jaringan.
• CVE-2026-21513 (CVSS 8.8): Kegagalan mekanisme proteksi di MSHTML Framework yang juga memungkinkan bypass keamanan.

APT28 diketahui menggunakan file Windows Shortcut (LNK) berbahaya untuk mengeksploitasi dua kerentanan tersebut, melewati perlindungan Microsoft Defender SmartScreen dan menjalankan kode berbahaya pengendali penyerang.

Teknis Eksploitasi dan Risiko Credential Theft

Dahan menjelaskan bahwa APT28 memanfaatkan mekanisme parsing namespace Windows Shell untuk memuat dynamic-link library (DLL) dari server jarak jauh melalui jalur UNC (Universal Naming Convention). DLL ini dimuat sebagai bagian dari objek Control Panel (CPL) tanpa validasi zona jaringan yang tepat.

Walaupun patch Februari 2026 sudah memicu pemeriksaan SmartScreen pada tanda tangan digital dan asal file CPL untuk mengurangi risiko eksekusi kode jarak jauh, mesin korban tetap mengautentikasi ke server penyerang secara otomatis dengan membuka koneksi SMB. Koneksi SMB ini secara otomatis melakukan proses handshake autentikasi NTLM, mengirimkan Net-NTLMv2 hash korban ke penyerang.

Hash ini kemudian dapat digunakan untuk serangan relay NTLM ataupun untuk proses pemecahan kata sandi secara offline, yang berpotensi membuka akses lebih jauh ke sistem korban.

"Meskipun Microsoft memperbaiki celah eksekusi kode awal (CVE-2026-21510), masih ada celah otentikasi coercion (CVE-2026-32202) yang tersisa. Jarak antara resolusi jalur dan verifikasi kepercayaan ini meninggalkan vektor pencurian kredensial tanpa klik melalui file LNK yang diurai otomatis," kata Dahan.

Langkah Pengamanan dan Implikasi Keamanan

Kerentanan ini menyoroti pentingnya patch menyeluruh dan pengujian keamanan yang ketat, terutama dalam komponen sistem operasi yang rentan dimanfaatkan oleh aktor ancaman tingkat tinggi seperti APT28. Pengguna Windows disarankan untuk segera menerapkan pembaruan keamanan resmi dan meningkatkan kewaspadaan terhadap file berformat LNK yang diterima dari sumber tidak terpercaya.

Analisis Redaksi

Menurut pandangan redaksi, pengakuan Microsoft atas eksploitasi aktif CVE-2026-32202 menunjukkan peningkatan kompleksitas serangan siber yang memanfaatkan celah keamanan berlapis. Kasus ini bukan hanya masalah teknis patch, tetapi juga memperlihatkan bagaimana peretas menggunakan celah kecil untuk melancarkan serangan besar yang menargetkan infrastruktur penting di berbagai negara, terutama di kawasan Eropa dan Ukraina.

Yang belum banyak diperbincangkan adalah potensi dampak lanjutan dari pencurian hash NTLMv2 ini, yang dapat digunakan untuk serangan lebih lanjut seperti pergerakan lateral di jaringan dan pencurian data sensitif perusahaan. Ini mempertegas bahwa organisasi harus mengadopsi strategi keamanan berlapis dan deteksi dini untuk mencegah eksploitasi berkelanjutan.

Ke depan, penting untuk mengikuti perkembangan perbaikan patch dan deteksi eksploitasi zero-click ini, serta memantau aktivitas kelompok APT yang masih aktif. Kepatuhan terhadap update keamanan dan edukasi pengguna menjadi kunci utama dalam menghadapi ancaman yang semakin canggih ini.

Untuk informasi lebih lengkap dan update terkini, kunjungi sumber asli di The Hacker News serta pantau berita keamanan siber dari Kompas Keamanan Siber.