Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > CVE-2026-32202: Wanneer het bladeren door een map leidt tot een datalek
CVE-2026-32202: Wanneer het bladeren door een map leidt tot een datalek

CVE-2026-32202: Wanneer het bladeren door een map leidt tot een datalek

by Bob Ertl updated mei 13, 2026 Beheer van cyberbeveiligingsrisico's
Reading Time: 10 minutes

Op 27 april 2026 heeft Microsoft zijn advies voor CVE-2026-32202 bijgewerkt om te bevestigen wat Akamai-onderzoekers al hadden vastgesteld: de kwetsbaarheid werd actief misbruikt in het wild. CISA volgde de dag erna en voegde de CVE toe aan de Known Exploited Vulnerabilities-catalogus, waarbij federale instanties werden opgedragen om uiterlijk 12 mei te patchen.

Belangrijkste inzichten

  1. Zero-click diefstal van inloggegevens is nu operationele realiteit. CVE-2026-32202 stelt een aanvaller in staat om de NTLMv2-hash van een Windows-gebruiker te oogsten door simpelweg een mapweergave te activeren. APT28 maakt hier sinds december 2025 misbruik van.
  2. Microsoft leverde de patch met de verkeerde aanduiding. De update van 14 april verholp CVE-2026-32202, maar markeerde deze niet als actief misbruikt. Twee weken van stille blootstelling volgden voordat CISA en Microsoft het advies corrigeerden en federale actie afdwongen.
  3. Compromittering van identiteit is compromittering van data. Gestolen NTLM-hashes maken relay-aanvallen en laterale beweging naar bestandsshares, M365, SharePoint en on-prem archieven mogelijk – de systemen waar gereguleerde data daadwerkelijk staat.
  4. Authenticatie is geen autorisatie. Behandel het ook zo. Een succesvol doorgestuurde inlog moet alsnog contentlaag-ABAC-handhaving ondergaan, niet onvoorwaardelijke leesrechten krijgen. De meeste organisaties hebben die grens niet gebouwd.
  5. Gegevenslaag-governance is het enige duurzame antwoord. Wanneer diefstal van inloggegevens zero-click is en patches twee weken achterlopen op misbruik, is de verdediging die standhoudt degene die de data zelf beheert – onafhankelijk van wie succesvol is geauthenticeerd.

De werking van het lek is verontrustend eenvoudig. Een kwaadaardig Windows-snelkoppeling (LNK)-bestand belandt in de downloadmap van een gebruiker. De gebruiker klikt er niet op. De gebruiker voert niets uit. Ze openen simpelweg de map. Windows Verkenner toont de inhoud van de map en probeert daarbij een pictogram voor de snelkoppeling op te halen. De snelkoppeling bevat een UNC-pad naar een door de aanvaller beheerde SMB-server. Windows start de SMB-verbinding en een automatische NTLM-authenticatie volgt. De Net-NTLMv2-hash van het slachtoffer wordt aan de aanvaller geleverd. Geen interactie behalve het openen van de map. Geen melding. Geen waarschuwing.

Die hash kan vervolgens worden gebruikt voor NTLM-relay-aanvallen op andere systemen in de omgeving, of offline worden gekraakt om het wachtwoord van de gebruiker te achterhalen. In beide gevallen beschikt de aanvaller nu over authenticatiemateriaal dat toegang biedt tot bestandsshares, M365-mailboxen, SharePoint-sites, on-prem archieven en elke andere bron die de gebruiker kan bereiken. De bug heeft een CVSS-score van 4,3, wat de operationele waarde met ongeveer een factor tien onderschat.

CVE-2026-32202 is eigenlijk geen Windows Shell-bug. Het is een pipeline voor diefstal van inloggegevens, en de inloggegevens die het oplevert zijn de sleutels tot je data.

De “Silent Patch”-mislukking die twee weken blootstelling kostte

De openbaarmakingstijdlijn van CVE-2026-32202 is op zichzelf een casestudy waarom patchsnelheid niet langer functioneert als verdedigingsstrategie. Het lek is het gevolg van een onvolledige oplossing voor CVE-2026-21510, een ernstigere Windows Shell-kwetsbaarheid die Microsoft in februari 2026 patchte nadat Akamai ontdekte dat APT28 deze in december 2025 inzette bij aanvallen op Oekraïne en EU-landen. De patch van februari blokkeerde het remote code execution-pad succesvol. Het blokkeerde echter niet de weg van authenticatie-afdwinging.

Dat resterende gat werd CVE-2026-32202.

Microsoft heeft het opgelost in de Patch Tuesday-release van 14 april 2026. Maar het oorspronkelijke advies markeerde de CVE niet als actief misbruikt. De exploitatievlag ontbrak. De CVSS-vector was verkeerd geclassificeerd. Securityteams die normale patch-triageprocessen volgden, kregen geen formeel signaal om CVE-2026-32202 als urgent te behandelen. Dertien dagen lang stond een bevestigde, actief misbruikte zero-click vector voor diefstal van inloggegevens in patch-backlogs, gedeprioriteerd omdat de metadata aangaf dat het om een routine-middelzware bug ging.

Microsoft corrigeerde het advies op 27 april. CISA voegde CVE-2026-32202 op 28 april toe aan de KEV-catalogus met een federale patchdeadline van 12 mei. Voor organisaties buiten de federale civiele overheid geldt geen formele deadline. De patchcurve zal herkenbaar zijn: de meest operationeel volwassen omgevingen dichten het gat binnen dagen, de gemiddelde onderneming doet er weken over, en een lange staart van organisaties laat het maanden open.

Ondertussen maakt APT28 al sinds december 2025 misbruik van de onderliggende mogelijkheid. Tegen de tijd dat CISA’s KEV-vermelding verscheen, stond het exploitatievenster al meer dan vier maanden open.

Dit is geen uniek falen van één CVE. Het is de structurele situatie waarin door AI versterkte aanvallers nu opereren.

APT28 en de strategische waarde van gestolen identiteitsmateriaal

De context van toewijzing voor CVE-2026-32202 is van belang. APT28 – ook bekend als Fancy Bear, Forest Blizzard, GruesomeLarch en Pawn Storm – is de aan de GRU gelieerde Russische militaire inlichtingeneenheid die onder meer verantwoordelijk is voor de DNC-hack in 2016 en een aanhoudende reeks inbraken bij NAVO-georiënteerde overheden. CERT-UA heeft bevestigd dat APT28 CVE-2026-21510 gebruikte (het moederlek) in de campagne van december 2025 tegen Oekraïne en EU-landen. Microsoft heeft aangegeven dat het APT28 niet direct heeft gekoppeld aan misbruik van CVE-2026-32202, maar de structurele relatie tussen de twee CVE’s en het vier maanden durende exploitatievenster van de onderliggende mogelijkheid spreekt boekdelen.

Het doelwitpatroon van APT28 verklaart waarom een “lage” CVSS-score misleidend is. Staat-georiënteerde actoren hebben geen ransomware-achtige ruis nodig om waarde te halen uit een Windows-omgeving. Ze hebben stabiele, hardnekkige, moeilijk detecteerbare toegang nodig tot de datasystemen waar een organisatie van afhankelijk is. Gestolen NTLM-hashes bieden precies dat. Ze maken laterale beweging mogelijk die niet te onderscheiden is van legitieme authenticatie. Ze openen paden naar bestandsshares, mailsystemen, documentopslagplaatsen, SharePoint-sites en de on-prem identity-infrastructuur die hybride omgevingen ondersteunt.

Het CrowdStrike 2026 Global Threat Report schetst het bredere patroon. Cloudgerichte inbraken richten zich op misbruik van identiteit en vertrouwen in plaats van het plaatsen van malware: misbruik van geldige accounts, diefstal van sessietokens en misbruik van SSO- en federatiestromen. SaaS-platforms zijn populaire doelwitten omdat ze gevoelige klant-, medewerker- en operationele data verzamelen en minder streng worden gemonitord dan endpoints. Adversary-in-the-middle-phishing tegen Microsoft 365 en Entra ID steelt cookies en tokens om multi-factor authentication te omzeilen. Zowel eCrime- als staatshackers zoeken in cloud- en SaaS-omgevingen naar PII, gereguleerde data en waardevolle bedrijfsinformatie.

CVE-2026-32202 past naadloos in dat operationele plaatje. Het is een stille, zeer effectieve techniek voor het verkrijgen van inloggegevens die op schaal werkt in elke Windows-omgeving waar NTLM nog actief is en mapshares normaal worden gebruikt.

De identity-to-data-pipeline die de meeste verdedigers niet hebben versterkt

De verdedigingsreflex na een lek van inloggegevens is om direct naar identity-controls te grijpen: patch het OS, versterk NTLM, schakel SMB-signing in, segmenteer de netwerkperimeter. Die acties zijn belangrijk. Ze zijn echter niet voldoende.

De reden is structureel. Diefstal van inloggegevens is slechts het begin van een langere aanvalsketen. De daadwerkelijke schade ontstaat wanneer het gestolen inloggegeven wordt gebruikt om toegang te krijgen tot een systeem met gereguleerde data – een bestandsshare met PHI, een SharePoint-site met vertrouwelijke contracten, een Exchange-mailbox met M&A-communicatie, een archief met CUI. In de meeste omgevingen krijgt een aanvaller met een geldig inloggegeven op zo’n systeem dezelfde rechten als het onderliggende gebruikersaccount. Er is geen tweede controle. De datalaag vertrouwt de identity-laag volledig.

Dat is de grens die door AI versterkte aanvallers het efficiëntst uitbuiten. Het Thales 2026 Data Threat Report toont aan dat diefstal en compromittering van inloggegevens het belangrijkste aanvalstype is op cloud management-infrastructuur, goed voor 67% van de aanvallen op dat oppervlak. Identity & Access Management wordt in het rapport genoemd als de meest urgente beveiligingsdiscipline – een weerspiegeling van de focus van aanvallers op inloggegevens en identiteitsdata als waardevolle doelwitten. Organisaties gebruiken gemiddeld 2,26 IaaS-providers en 89 SaaS-apps, wat zorgt voor meer cross-cloud en cross-SaaS datastromen en consistente beleidsafdwinging bemoeilijkt.

Kiteworks Data Security and Compliance Risk: 2026 Forecast Report toont dat 33% van de organisaties geen audittrails van bewijskwaliteit heeft voor hun data-uitwisselingsoppervlakken. Zelfs als het incident met diefstal van inloggegevens wordt gedetecteerd, kunnen de meeste organisaties niet precies reconstrueren welke data de aanvaller heeft bereikt, wat is geëxfiltreerd en welke wettelijke meldingsplichten zijn getriggerd. De compliance-blootstelling versterkt de operationele blootstelling.

CVE-2026-32202 is de nieuwste herinnering dat compromittering van identiteit gelijkstaat aan compromittering van data – en dat de grens daartussen is waar verdediging faalt.

Authenticatie beantwoordt wie. Niet wat ze mogen doen.

Het verdedigingsprincipe dat moet worden versterkt naar aanleiding van CVE-2026-32202 is ouder dan NTLM en eenvoudiger dan zero-trust-marketing: authenticatie beantwoordt één vraag, namelijk “wie heeft dit verzoek verstuurd”. Het beantwoordt niet of het verzoek veilig is om uit te voeren. Het beantwoordt niet of het account toegang mag hebben tot deze specifieke bron op dit specifieke moment in deze specifieke zakelijke context. Het beantwoordt niet of de gevraagde handeling er een is die het account mag uitvoeren op deze data.

De meeste omgevingen vegen die vragen op één hoop. Een gebruiker met geldige inloggegevens wordt als geautoriseerd beschouwd. De datalaag vertrouwt erop dat de identity-laag het beleid heeft gehandhaafd. Als juist die identity-laag is gecompromitteerd, faalt het hele verdedigingsmodel tegelijk.

Het architecturale antwoord is om authenticatie en autorisatie te scheiden op de datalaag. Zelfs een succesvol doorgestuurde NTLM-inlog moet terechtkomen op contentlaag-ABAC-handhaving die controleert: mag dit account deze dataclassificatie lezen, in deze rechtsbevoegdheid, op dit moment, voor dit doel, met deze apparaatstatus? Is deze handeling (lezen versus downloaden versus verplaatsen versus verwijderen) toegestaan voor de rol en context van het account? Komt de activiteit overeen met het normale patroon van de gebruiker, of is het afwijkend en moet aanvullende verificatie worden getriggerd?

De 2026 Forecast Report-data over de kloof tussen beleid en handhaving is de operationele maatstaf voor hoe zeldzaam die grens in de praktijk is. Organisaties noemen zichzelf zero-trust-ready, maar de audittrails, encryptiestatus en beleidsafdwinging op de datalaag ontbreken vaak. CVE-2026-32202 is het soort openbaarmaking dat die kloof blootlegt.

Gegevenslaag-governance: de architectuur die standhoudt

Wanneer diefstal van inloggegevens zero-click is, patches maanden achterlopen op misbruik en hetzelfde identiteitsmateriaal zowel een inbox als een bestandsshare met gereguleerde data opent, moet verdediging onder de identity-laag plaatsvinden.

Dat is wat gegevenslaag-governance doet. ABAC-beleidsafdwinging op contentniveau betekent dat zelfs een succesvol geauthenticeerde sessie nog steeds op attributen gebaseerde controles moet doorstaan voordat gevoelige data wordt verplaatst – zelfs als de authenticatie zelf is bereikt met een gestolen inloggegeven. FIPS 140-3 gevalideerde encryptie betekent dat een geëxfiltreerd bestand geen plaintext-lek is. Manipulatiebestendige auditlogs met real-time SIEM-integratie zorgen ervoor dat een afwijkend data-accesspatroon binnen enkele minuten zichtbaar wordt in detectiesystemen, niet pas na maanden forensisch onderzoek. Zero-trust-toegang voor AI-agenten – die nu routinematig toegang hebben tot dezelfde bestandsshares en documentopslag als aanvallers willen – betekent dat een door prompt-injectie gecompromitteerde AI-assistent geen data kan exfiltreren die hij nooit mocht zien.

Dit is het architecturale patroon dat het consolideren van data-uitwisseling onder één governance-laag oplevert. Het is geen vervanging voor identity-hygiëne, NTLM-versterking of patchbeheer. Die blijven essentieel. Het is de laag onder identity die niet instort als identity wordt gecompromitteerd.

Vijf acties vóór het volgende lek voor diefstal van inloggegevens

CVE-2026-32202 zal worden gepatcht. Het volgende zero-click-lek voor diefstal van inloggegevens volgt ongetwijfeld. De architecturale beveiligingsstatus die beide overleeft, is dezelfde. Vijf concrete acties:

Ten eerste, voer direct de Patch Tuesday-update van 14 april 2026 uit als deze nog niet is ingezet. CVE-2026-32202 is in deze update opgelost. De patch is de enige bekende herstelmaatregel.

Ten tweede, versterk NTLM en het SMB-egresspad. Blokkeer uitgaand SMB (TCP 445) aan de netwerkperimeter om te voorkomen dat NTLM-hashes externe, door aanvallers beheerde servers bereiken. Schakel SMB-signing in in de hele omgeving om relay-aanvallen te beperken. Beperk of schakel NTLM uit ten gunste van Kerberos waar het applicatielandschap dat toelaat.

Ten derde, audit je identity-to-data-trustgrens. Waar geven succesvolle authenticaties onvoorwaardelijke leesrechten op gevoelige data? Dat zijn de grenzen waar ABAC-beleidsafdwinging, contentlaag-toegangscontroles en continue verificatie nodig zijn in plaats van sessie-niveau vertrouwen. Kiteworks 2026 Forecast Report-data over het audittrail-gat is het operationele startpunt voor die audit.

Ten vierde, zoek naar APT28-indicatoren gerelateerd aan de LNK-campagne van december 2025. Akamai heeft technische details gepubliceerd over de exploitatieketen. Securityteams in EU- en Oekraïne-gerelateerde omgevingen moeten zoeken naar kwaadaardige LNK-bestanden, onverwachte SMB-verbindingen met externe hosts en CPL-bestandsexecutie buiten goedgekeurde software.

Ten vijfde, bouw de gegevenslaag-governance die de volgende openbaarmaking overleefbaar maakt. Kiteworks 2026 Forecast Report toont dat 72% van de organisaties hun softwarecomponenten niet kan inventariseren, 71% geen continue afhankelijkheidsmonitoring heeft en 33% geen audittrails van bewijskwaliteit heeft. Het dichten van die gaten verandert een incident met diefstal van inloggegevens van een maandenlang forensisch onderzoek in een beheersbaar, auditeerbaar en regulatorisch verdedigbaar incident.

De bug is oud. De verdediging moet nieuw zijn.

NTLM-relay is al meer dan twintig jaar een bekend aanvalspatroon. Map-render-als-inloglek is alleen nieuw in de specifieke leveringsmethode. De reden dat CVE-2026-32202 ertoe doet, is niet omdat het een nieuw type aanval is – maar omdat het terechtkomt in omgevingen waar de structurele aanname “authenticatie is autorisatie” nog steeds cruciaal is.

Die aanname werd onderuitgehaald in december 2025, toen APT28 de onderliggende mogelijkheid begon te misbruiken. Het ging opnieuw mis in april 2026, toen Microsoft een patch uitbracht met verkeerde metadata. Het zal opnieuw misgaan bij de volgende openbaarmaking. De architectuur die de breuk overleeft, is degene die de data beheert, onafhankelijk van wie succesvol is geauthenticeerd.

Een map openen zou geen datalek mogen zijn. Met de juiste architectuur onder de identity-laag is dat het ook niet.

Veelgestelde vragen

CVE-2026-32202 is een Windows Shell-spoofing-kwetsbaarheid waarmee aanvallers de Net-NTLMv2-hash van een Windows-gebruiker kunnen oogsten zonder enige gebruikersinteractie, behalve het bladeren in een map met een kwaadaardig LNK-snelkoppelingsbestand. Wanneer Windows Verkenner de map weergeeft, wordt automatisch een UNC-pad in de snelkoppeling gevolgd, een SMB-verbinding met de server van de aanvaller opgezet en een NTLM-authenticatie gestart die de hash aan de aanvaller levert. De hash kan vervolgens worden gebruikt voor relay-aanvallen of offline worden gekraakt. APT28 maakt al sinds december 2025 misbruik van deze onderliggende mogelijkheid. Volgens het Kiteworks Data Security and Compliance Risk: 2026 Forecast Report heeft 33% van de organisaties geen audittrails van bewijskwaliteit – wat betekent dat de meeste organisaties niet kunnen reconstrueren welke data werd bereikt na een geslaagde relay.

CVSS-scores beoordelen de directe vertrouwelijkheidsimpact van de bug zelf, maar vangen niet de volledige aanvalsketen. CVE-2026-32202 levert een Net-NTLMv2-hash die NTLM-relay-aanvallen en offline kraken mogelijk maakt, wat beide paden biedt voor laterale beweging naar bestandsshares, M365, SharePoint en on-prem archieven waar gereguleerde data daadwerkelijk staat. De zero-click vector, APT28-toewijzing en het vier maanden durende exploitatievenster vóór publieke bevestiging zijn allemaal redenen om deze patch als kritisch te behandelen, ongeacht de score. Kiteworks Data Security and Compliance Risk: 2026 Forecast Report onderstreept waarom: als 33% van de organisaties geen audittrails van bewijskwaliteit heeft, kan één incident met diefstal van inloggegevens leiden tot een maandenlange regulatorische blootstelling die de CVSS-score nooit weerspiegelt.

CVE-2026-32202 is het gevolg van een onvolledige patch voor CVE-2026-21510, een ernstigere Windows Shell-kwetsbaarheid die APT28 in december 2025 inzette bij aanvallen op Oekraïne en EU-landen. De patch van Microsoft in februari 2026 voor CVE-2026-21510 blokkeerde het remote code execution-pad, maar liet een authenticatie-afdwingingsgat open dat CVE-2026-32202 werd. Akamai ontdekte de resterende kwetsbaarheid en meldde deze aan Microsoft, die een oplossing uitbracht in de Patch Tuesday-update van 14 april 2026. Microsoft markeerde CVE-2026-32202 aanvankelijk niet als actief misbruikt; die correctie kwam op 27 april, tegelijk met de toevoeging aan CISA’s KEV-catalogus. Kiteworks Data Security and Compliance Risk: 2026 Forecast Report schetst het bredere patroon: als patchsnelheid maanden achterloopt op misbruik en metadata-weergave weken achterloopt, kunnen organisaties niet vertrouwen op alleen patch-gedreven verdediging.

Gegevenslaag-governance scheidt authenticatie van autorisatie op contentniveau. Zelfs als een aanvaller succesvol een gestolen NTLM-inlog doorsluist en zich aanmeldt op een doelsysteem, beoordeelt ABAC-beleidsafdwinging elke datavraag op basis van de rol van het account, de dataclassificatie, de context van het verzoek en de specifieke gevraagde handeling. FIPS 140-3 gevalideerde encryptie betekent dat geëxfiltreerde bestanden geen plaintext-lekken zijn. Manipulatiebestendige auditlogs met real-time SIEM-feed maken afwijkende toegangspatronen binnen enkele minuten detecteerbaar. Kiteworks Data Security and Compliance Risk: 2026 Forecast Report toont dat 33% van de organisaties geen audittrails van bewijskwaliteit heeft, wat betekent dat de meeste omgevingen niet kunnen aantonen welke data is verplaatst na een inlogcompromittering – precies het gat dat gegevenslaag-governance moet dichten.

Voer de Patch Tuesday-update van 14 april 2026 uit als deze nog niet is ingezet – dit is de enige bekende herstelmaatregel. Blokkeer uitgaand SMB (TCP 445) aan de netwerkperimeter om exfiltratie van NTLM-hashes naar externe servers te voorkomen. Schakel SMB-signing in in de hele omgeving. Beperk of schakel NTLM uit waar het applicatielandschap dat toelaat. Audit identity-to-data-trustgrenzen: overal waar een succesvolle authenticatie onvoorwaardelijke leesrechten op gevoelige data geeft, moet ABAC-beleidsafdwinging op contentniveau worden toegevoegd. Zoek naar APT28-indicatoren gerelateerd aan de LNK-campagne van december 2025. Kiteworks Data Security and Compliance Risk: 2026 Forecast Report toont dat 71% van de organisaties geen continue afhankelijkheidsmonitoring heeft en 65% geen zero-trust-controls in hun toeleveringsketen heeft geïmplementeerd – het dichten van die gaten maakt het volgende zero-click-incident met diefstal van inloggegevens beheersbaar in plaats van catastrofaal.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks