Microsoft publikoi në patch Tuesday të prillit 2026 rregullimin për CVE-2026-21412 — një dobësi RCE (Remote Code Execution) në komponentin Server Message Block (SMB) të Windows Server 2019, 2022 dhe 2025. Rezultati CVSS: 9.8 (Kritik).
Detaje teknike
Dobësia gjendet në mënyrën se si serveri SMB trajton paketat SMB2_NEGOTIATE me një fushë të manipuluar në ClientGUID. Një sulmues i paautentikuar mund të dërgojë një paketë të dizajnuar posaçërisht që shkakton heap buffer overflow, duke lejuar ekzekutim të kodit me privilegje SYSTEM.
Exploit vector: Network (port 445)
Authentication required: None
User interaction: None
Complexity: LowShfrytëzimi në natyrë
Ekipi i Mandiant Threat Intelligence raportoi se brenda 48 orëve nga publikimi i patch-it, grupi APT38 (Lazarus) — i lidhur me Korenë e Veriut — filloi të shfrytëzonte dobësinë në sulme ndaj 6 bankave evropiane, përfshirë dy në Gjermani dhe një në Austri.
Çfarë duhet të bëjnë administratorët
- Aplikoni patch-in menjëherë — KB5034441 për Server 2022
- Monitoroni logjet për paketa SMB2 të pazakonta në port 445
- Segmentoni rrjetin — SMB nuk duhet të jetë i aksesueshëm nga interneti
- Aktivizoni SMB Signing dhe SMB Encryption
- Rishikoni rregullat e firewall-it për trafik lateral
CERT-RKS, ekipi përgjegjës për reagim ndaj incidenteve në Kosovë, lëshoi një njoftim publik duke rekomanduar të gjitha institucionet publike dhe bankat të aplikojnë patch-in brenda 72 orëve.