一个补丁修完,漏洞反而变多了——这种事微软刚干了一回。

4月14日,微软披露编号CVE-2026-32202的新漏洞,标记为"零点击认证强制"攻击。两天后,CISA将其列入已知漏洞目录,给联邦机构下了死命令:5月12日前必须修复。这距离微软2月发布"修复补丁"才过去两个月。

打开网易新闻 查看精彩图片

更讽刺的是,这个新漏洞正是从旧补丁里"长"出来的。

打开网易新闻 查看精彩图片

补丁留了后门,黑客零点击偷身份

Akamai安全研究员Maor Dahan在测试2月补丁时发现异常:受害机器明明打了补丁,却仍在向攻击者服务器发送认证信息。

问题出在微软对CVE-2026-21510的修复上。这个1月被俄罗斯APT28(Fancy Bear)利用的漏洞,原本需要钓鱼邮件配合恶意LNK文件才能触发。微软2月的补丁确实堵住了远程代码执行和SmartScreen绕过,但Dahan团队发现,认证强制通道依然畅通。

「测试补丁时,我们注意到有趣的现象:受害机器仍在向攻击者服务器认证,」Dahan写道。

攻击原理并不复杂。Windows Shell处理特定请求时,会未经用户交互就向攻击者指定的服务器发送Net-NTLMv2哈希——这是用户的身份凭证。拿到哈希后,攻击者可直接冒充用户身份,在内网横向移动、窃取敏感数据。

整个过程不需要用户点击、不需要弹窗确认,甚至不需要用户在场。这就是"零点击"的杀伤力。

俄罗斯间谍的漏洞供应链

APT28对这套组合拳并不陌生。乌克兰计算机应急响应团队记录显示,该组织1月的攻击针对乌克兰和欧盟国家,伪装成乌克兰水文气象中心的钓鱼邮件只是入口。

真正的技术亮点是漏洞链:CVE-2026-21513(LNK文件漏洞)打头阵绕过安全警告,CVE-2026-21510紧随其后实现远程代码执行。两个漏洞配合,Defender SmartScreen全程静默。

微软2月补丁理论上终结了这一链条。但Dahan的后续测试证明,只要调整攻击向量,利用残留的认证强制漏洞,依然能达成类似效果——甚至更简单,因为不需要用户打开任何文件。

「虽然微软的修复成功阻止了初始远程代码执行和SmartScreen绕过,但留下了一个零点击认证强制漏洞,」Dahan在技术分析中明确指出。

从漏洞披露时间线看,APT28在1月利用CVE-2026-21510,微软2月发布补丁,Dahan团队在测试中发现新漏洞CVE-2026-32202,4月公开披露时已被标记为"检测到利用"。攻击者适应速度超过防御方修补节奏,这条规律再次应验。

认证强制的隐蔽生意

打开网易新闻 查看精彩图片

Net-NTLMv2哈希窃取是内网渗透的经典手法,但通常需要一定用户交互——点击链接、打开文档、或者至少连接到恶意网络。CVE-2026-32202的特殊之处在于完全消除交互环节。

Windows Shell在处理某些网络资源请求时,会自动尝试认证。微软2月补丁修复了其中的代码执行路径,却保留了认证触发机制。Dahan发现,只需构造特定请求,就能诱导系统向任意服务器发送哈希。

这对企业环境的威胁尤为严重。一旦某台机器沦陷,攻击者获得的不仅是单点权限,而是能在内网继续冒充合法用户的"通行证"。结合NTLM中继攻击,甚至无需破解哈希即可直接利用。

微软在4月14日的公告中措辞谨慎:「成功利用该漏洞的攻击者可查看部分敏感信息。」但结合Dahan的技术细节,实际影响远不止"查看"——身份冒充、横向移动、数据窃取都在技术可行范围内。

CISA的反应速度说明了严重性。从微软标记"检测到利用"到CISA列入目录,间隔不到48小时;给联邦机构的修复期限也只有28天,远低于常规90天周期。

补丁质量的系统性拷问

CVE-2026-32202并非孤立事件。它暴露的是安全补丁开发中的典型盲区:修复显性症状,忽略隐性通道。

微软2月补丁的目标很明确——阻止APT28的漏洞利用链。测试验证很可能聚焦于"能否执行远程代码"这一指标,而认证流量是否外泄未被纳入验收标准。结果就是一个"有效"的补丁,在另一种攻击场景下完全失效。

Dahan的发现过程颇具启示:不是通过代码审计,而是通过补丁测试中的异常流量监控。这暗示防御方需要更完整的验证机制——不仅测试"漏洞是否还能被原方式利用",还要测试"补丁是否引入了新的攻击面"。

对于依赖Windows生态的企业,这次事件提出了一个尴尬问题:如何信任一个补丁真正解决问题,而不是创造新问题?CISA的紧急目录和短限期是外部监管压力,但技术层面的验证工具和方法,目前仍缺乏行业标准。

APT28尚未被官方确认与CVE-2026-32202的直接关联,但The Register的调侃值得玩味:「我们建议把所有赌注押在普京的人马身上。」考虑到该组织1月对该漏洞家族的深度掌握,以及俄罗斯网络行动的战略优先级,这种推测并非无的放矢。

微软尚未回应关于漏洞利用规模、攻击者身份和访问用途的询问。在官方信息真空期,企业安全团队的唯一选择是按CISA时间表行动——5月12日并不遥远。