Una vulnerabilità in Windows capace di aggirare le protezioni di SmartScreen senza richiedere alcuna interazione da parte dell’utente. Questo è il nocciolo della questione attorno alla falla identificata come CVE-2026-32202, un difetto nella shell del sistema operativo Microsoft venuto alla luce dopo una patch incompleta. Il problema riguarda i file LNK, quelli che normalmente funzionano come semplici collegamenti di Windows, ma che in realtà rappresentano da tempo una superficie d’attacco molto sfruttata, soprattutto in scenari di spear phishing, cioè campagne di phishing costruite su misura per colpire persone o organizzazioni specifiche con messaggi estremamente credibili.
La faccenda ha radici che risalgono a mesi fa. Tra dicembre 2025 e gennaio 2026, diversi CERT europei avevano segnalato un aumento di attacchi mirati contro enti governativi e infrastrutture critiche. Il gruppo APT28, conosciuto anche come Fancy Bear, aveva sfruttato una combinazione di vulnerabilità per ottenere esecuzione di codice remoto e accesso a credenziali di rete. Microsoft era intervenuta con patch correttive tra febbraio e aprile 2026, ma una lacuna nel processo di validazione ha lasciato aperta una porta meno visibile, comunque sfruttabile.
Come funziona l’attacco: MSHTML e il bypass di SmartScreen
L’attacco si basa su due vulnerabilità concatenate: CVE-2026-21513, legata al motore MSHTML, e CVE-2026-21510, che permette di aggirare i controlli di sicurezza. In pratica, un file LNK costruito ad hoc induce il sistema a interpretare contenuti remoti come se fossero componenti legittimi del Pannello di controllo.
Per capire meglio: un attaccante crea un file con un nome innocuo, qualcosa tipo “Fattura_2026.lnk”. Nonostante sembri un semplice collegamento, al suo interno contiene una struttura tecnica che punta a un percorso remoto. Quando Windows analizza quel file, non lo tratta come un link esterno ma come un oggetto del Pannello di controllo. La risoluzione interna porta Esplora file a passare la richiesta alla shell come se si trattasse di un file .cpl locale. A quel punto entra in gioco la falla che bypassa SmartScreen, mentre la vulnerabilità MSHTML facilita l’interpretazione del payload. Il risultato è che Windows carica una DLL remota travestita da file .cpl, senza che scatti alcun blocco legato al Mark of the Web né alcun avviso da parte di SmartScreen.
La cosa più preoccupante, però, sta nel passaggio successivo. Microsoft aveva corretto la falla CVE-2026-21510 introducendo un nuovo oggetto COM che estendeva il sistema di verifica ai file .cpl. Il problema è che prima ancora che la verifica si attivi, Esplora file compie operazioni preliminari per visualizzare gli oggetti, tra cui il recupero dell’icona associata al file. In questa fase il sistema tenta di risolvere il percorso remoto per verificare l’esistenza del file. Nessuna interazione dell’utente, nessun avviso. Appena il percorso viene interrogato, Windows avvia automaticamente una connessione SMB e basta semplicemente aprire una cartella contenente un file LNK malevolo perché si avvii una negoziazione NTLM. In questo processo il computer invia al server controllato dall’attaccante l’hash Net-NTLMv2 dell’utente, cioè una versione cifrata delle credenziali utilizzabile per tentare accessi non autorizzati.
Quell’hash può essere riutilizzato direttamente in attacchi relay, dove l’autenticazione viene inoltrata a un altro servizio senza conoscere la password, oppure analizzato offline con tecniche di cracking. In contesti aziendali complessi, questa condizione può accelerare enormemente i movimenti laterali di un attaccante all’interno della rete.
Superficie d’attacco e contromisure adottate
Quello che rende questo bug particolarmente insidioso è l’assenza totale di interazione. Non serve aprire il file, non serve cliccare nulla. Basta che il sistema indicizzi la cartella o ne mostri il contenuto. In ambienti dove si utilizzano condivisioni di rete, repository documentali o sistemi di sincronizzazione, il rischio cresce sensibilmente. I file LNK possono transitare facilmente tra utenti e sistemi, spesso senza controlli specifici.
Microsoft ha corretto il difetto con gli aggiornamenti di aprile 2026, chiudendo la finestra tra risoluzione del percorso e verifica di sicurezza. Resta comunque consigliabile monitorare il traffico SMB in uscita verso host esterni, dato che un comportamento anomalo può indicare tentativi di sottrazione degli hash. Limitare o disabilitare NTLM dove possibile riduce drasticamente l’impatto, e l’adozione dell’autenticazione basata su Kerberos rappresenta una contromisura efficace soprattutto all’interno di domini ben strutturati. Alcune organizzazioni stanno anche introducendo regole specifiche nei sistemi EDR per intercettare accessi sospetti generati da explorer.exe, insieme al filtraggio dei file LNK provenienti da fonti non attendibili e al blocco della risoluzione automatica di percorsi UNC non interni.
