Sårbarhed i Microsoft Windows misbruges aktivt af Sofacy/APT28

29-04-2026

Sårbarheden blev fjernet i forbindelse med denne måneds patch-tirsdag fra Microsoft. Men sårbarheden, som stadig kan være tilstede på ikke opdaterede Windows maskiner, misbruges allerede aktivt i angreb mod vilkårlige mål og endpoints i et netværk og kan anvendes til at opsnappe sensitiv data fra SMB trafik.

Sårbarheden har fået tildelt CVE-ID: CVE-2026-32202, og med en relativt lav CVSS score på blot 4.3. Det afholder dog ikke it-kriminelle fra at misbruge sårbarheden som del af en cocktail.

Sårbarheden misbruges bl.a. aktivt af den russiske APT gruppe, Sofacy (APT28, Fancy Bear/Pawn Storm) og muligvis andre aktører. Den anvendes i forbindelse med en angrebskæde, der involverer andre svagheder i Windows, og som samlet set kan føre til kompromittering af et ikke opdateret endpoint. Payloaden er designet til at at omgå forskellige typer endpoint beskyttelse. 

APT28 udnytter sårbarhederne ved at sende et særligt udformet dokument til en modtager, der ved åbning af dokumentet vil droppe en .lnk fil (genvej) med henblik på at omgå Windows Defender Smartscreen beskyttelse. 

Teknisk set gennemføres endpoint omgåelsen ved at hente en CPL fil via Universal Naming Convention (UNC) over SMB. SMB udløser automatisk NTLM autentifikation som inkluderer målets Net-NTLMv2 hash til angriberen. Den pågældende hash kan derefter blive forsøgt knækket offline.

Koden gennemfører ved kørsel følgende checks:

get file attributes
check OS version
acquire debug privileges
create directory
create service
allocate thread local storage
enumerate processes
delete user account
set registry value
modify access privileges
create process on Windows
start service
modify service
get file size
delete file
terminate process
read file on Windows
check if file exists
write file on Windows

APT28 rammer bl.a. mål indenfor EU herunder også Danmark.

Yderligere info om APT28:
https://attack.mitre.org/groups/G0007/

Sårbarheden er netop optaget i CISA's Known Exploited Vulnerabilities (KEV) Catalog:
https://www.cisa.gov/news-events/alerts/2026/04/28/cisa-adds-two-known-exploited-vulnerabilities-catalog

Share