# CVE-2026-21510 - Windows Shell Security Feature Bypass (SmartScreen/MOTW) > [!danger] CVSS: 8.8 (Alto) · Vendor: Microsoft · CISA KEV: Sim (2026-02-10) · Prazo: 2026-03-03 (VENCIDO) · Explorado por APT28 ## Visão Geral Conteúdo a ser adicionado - nota referênciada pelo feed CTI. ## Resumo Técnico **CVE-2026-21510** é uma vulnerabilidade de **bypass de mecanismo de proteção** (CWE-693) no **Windows Shell** que permite contornar verificações de segurança do **Microsoft SmartScreen** e/ou **Mark-of-the-Web (MOTW)**. Um atacante remoto pode entregar arquivos maliciosos (tipicamente atalhos `.LNK`) que bypassam os avisos de segurança normalmente exibidos para conteúdo de origem externa, facilitando execução de malware sem alertas. A vulnerabilidade foi explorada ativamente como zero-day pelo grupo **[[g0007-apt28]]** em conjunto com **[[cve-2026-21513|CVE-2026-21513]]** (MSHTML bypass) e **[[cve-2026-21514|CVE-2026-21514]]** em campanhas de espionagem. **Pontuação de risco:** - CVSS v3.1: **8.8** (Alto) - EPSS: **~82%** de probabilidade de exploração - CISA KEV: **adicionado em 2026-02-10** - prazo: 2026-03-03 (vencido) - Exploração ativa: **confirmada** (APT28, phishing amplo) ## Exploração A exploração combina engenharia social (phishing) com o bypass técnico. O atacante cria um arquivo `.LNK` (atalho Windows) ou documento especialmente construído que, quando recebido da internet/e-mail e visualizado, não aciona os mecanismos de proteção do SmartScreen/MOTW. **Mecanismo técnico:** - O Windows normalmente marca arquivos baixados da internet com MOTW (via stream `Zone.Identifier` no NTFS ADS) - CVE-2026-21510 permite que a flag MOTW seja ignorada ou que o arquivo seja processado como se fosse de origem local/confiável - O resultado é que o usuário não recebe o aviso "Arquivo de origem desconhecida - deseja executar?" **Uso pelo APT28:** - Arquivos `.LNK` maliciosos entregues via spear-phishing - Usados em conjunto com CVE-2026-21513 (MSHTML) para cadeia de exploração mais robusta - Detectado por CrowdStrike, Google Threat Intelligence e Tenable **Atividade post-exploitation observada:** - Instalação de implantes de espionagem - Exfiltração de credenciais e documentos sensíveis - Estabelecimento de persistência ## Impacto - **Execução de código sem aviso de segurança:** usuário executa malware sem receber alertas do Windows Defender SmartScreen - **Instalação de malware:** qualquer payload entregue via .LNK pode ser executado silenciosamente - **Escalada via cadeia:** combinado com CVE-2026-21513 e CVE-2026-21514, forma cadeia de exploração completa - **Vetor de entrada para APTs:** especialmente eficaz em campanhas de spear-phishing sofisticado **Impacto LATAM/Brasil:** Todos os sistemas Windows (10, 11, Server) em versões não patcheadas são vulneráveis. Em ambientes corporativos brasileiros com Microsoft 365 e Exchange, arquivos .LNK maliciosos chegam frequentemente via e-mail - a ausência do aviso SmartScreen aumenta drasticamente o risco de infecção bem-sucedida. > [!latam] Contexto LATAM - Windows SmartScreen Bypass > O Brasil possui uma das maiores bases instaladas de Windows corporativo da América Latina, com predominância de Windows 10 e 11 em empresas de médio e grande porte. A exploração desta CVE pelo APT28 (Fancy Bear, vinculado à inteligência militar russa GRU) é altamente relevante para o contexto brasileiro - o grupo historicamente tem como alvo governos, setor de defesa, think tanks e organizações diplomáticas. Arquivos .LNK maliciosos são um vetor clássico em campanhas de spear-phishing direcionadas à América Latina. A combinação com o prazo CISA KEV vencido (03/03/2026) indica que organizações sem patch aplicado permanecem em risco elevado. Priorizar atualização do Patch Tuesday de fevereiro de 2026 em todos os endpoints Windows. ## Mitigação **Patch obrigatório:** - Instalar atualização do **Patch Tuesday de fevereiro de 2026** (10 de fevereiro de 2026) - Microsoft Update: disponível via Windows Update, WSUS, SCCM/Intune **Verificação de versão (PowerShell):** ```powershell Get-HotFix | Where-Object {$_.InstalledOn -gt "2026-02-01"} | Select-Object HotFixID, InstalledOn ``` **Mitigações adicionais:** - Habilitar SmartScreen via Group Policy: `Computer Configuration > Administrative Templates > Windows Components > File Explorer` - Implementar regras de **Attack Surface Reduction (ASR):** bloquear criação de processos filhos por Office e Explorer - Configurar filtragem de anexos `.LNK` no gateway de e-mail - Monitorar criação de processos suspeitos filhos de `explorer.exe` ## Notas Relacionadas **Ator explorando:** [[g0007-apt28]] **CVEs da mesma cadeia APT28:** [[cve-2026-21513|CVE-2026-21513]] · [[cve-2026-21509|CVE-2026-21509]] **TTPs relacionadas:** [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] · [[t1204-user-execution|T1204 - User Execution]] · [[t1553-subvert-trust-controls|T1553 - Subvert Trust Controls]] · [[t1027-obfuscated-files|T1027 - Obfuscated Files or Information]] **Setores em risco:** [[government]] · [[defense]] · [[critical-infrastructure]] · [[financial]] ## Referências - [NVD - CVE-2026-21510](https://nvd.nist.gov/vuln/detail/CVE-2026-21510) - [Microsoft Security Advisory - Patch Tuesday Fevereiro 2026](https://msrc.microsoft.com/update-guide/) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [CrowdStrike - APT28 SmartScreen exploitation](https://www.crowdstrike.com/blog/) - [Google Threat Intelligence - Windows Shell zero-day](https://blog.google/threat-analysis-group/)