Windows文件管理器零点击漏洞：CVE-2026-32202致NTLMv2哈希泄露

🔓 High 漏洞利用

攻击者利用Windows Shell（文件资源管理器）中的欺骗漏洞（CVE-2026-32202），通过构造恶意.LNK快捷方式文件（指向攻击者控制的SMB服务器UNC路径），当用户打开包含该文件的文件夹时，无需任何点击即可自动触发NTLMv2身份验证请求，导致NetNTLMv2哈希被捕获。该漏洞影响Windows 10/11及Windows Server多个版本，攻击者可通过中继或离线破解哈希进一步获取用户凭证。

来源：Exploit-DB-RSS | 2026-05-29 | 原文链接

🔍 关键发现

• 漏洞为零点击（zero-click）利用，用户只需打开文件夹即可触发NTLMv2哈希泄露，无需交互。
• 攻击向量基于SMB协议（端口445），通过恶意.LNK文件的UNC路径自动发起NTLMv2身份验证请求。
• 受影响的系统包括Windows 11 23H2/24H2/25H2/26H1、Windows 10 21H2-22H2以及Windows Server 2019/2022/2025。
• 微软已于2026年4月补丁星期二（KB2026-04214）修复该漏洞，但未修补系统仍面临哈希泄露风险。

⚔️ 攻击链分析

攻击者生成包含恶意UNC路径的.LNK文件 -> 通过社会工程或文件共享等方式将文件投放至目标系统 -> 目标用户打开包含.LNK文件的文件夹（自动触发） -> 系统向攻击者SMB服务器发送NTLMv2哈希 -> 攻击者捕获哈希并用于中继攻击或离线破解

🚩 失陷指标 (IOC)

• 可疑.LNK文件，其目标路径指向外部IP或域名（如\\ATTACKER_IP\share\test）
• SMB端口445上向非内部IP发起的异常NTLM身份验证请求
• 文件资源管理器进程（explorer.exe）对不可信UNC路径的意外网络连接

🛡️ 缓解建议

• ✅ 立即安装微软2026年4月安全更新（KB2026-04214）以修复CVE-2026-32202漏洞。
• ✅ 通过组策略禁用WebDAV和SMB出站连接，或限制NTLM身份验证（如设置网络级别身份验证策略）。
• ✅ 在防火墙或网络边界阻止出站SMB（TCP 445）流量，防止哈希外泄至外部攻击者。
• ✅ 启用Windows Defender攻击面减少（ASR）规则，阻止来自Office或LNK文件的进程创建或UNC路径执行。

涉及漏洞：["CVE-2026-32202""cve-2026-32202"]

⚠️ 本文仅供安全研究与学习，IOC 信息请勿用于非法目的。