Selon BleepingComputer, Microsoft a corrigé une vulnérabilité d’« exécution de code à distance » affectant le Bloc-notes de Windows 11.
-
La faille permettait à un attaquant d’exécuter des programmes locaux ou distants en incitant l’utilisateur à cliquer sur des liens Markdown spécialement conçus.
-
L’exploitation se faisait sans afficher d’avertissements de sécurité Windows, augmentant le risque d’exécution involontaire de code.
-
Microsoft a publié un correctif pour éliminer cette vulnérabilité au sein de Notepad (Bloc-notes) sur Windows 11.
Microsoft a corrigé une vulnérabilité d’exécution de code dans l’application Notepad (Bloc-notes) de Windows 11 permettant à un attaquant d’amener une victime à lancer un programme local ou distant en cliquant sur un lien Markdown spécialement conçu, sans affichage d’alerte de sécurité Windows dans certaines conditions.
Cette faille est suivie sous CVE-2026-20841 et concerne notamment les versions Notepad < 11.2510.
Ce qu’il se passe techniquement (simplifié)
- Notepad Windows 11 supporte le Markdown et rend certains liens cliquables.
- Un attaquant peut fournir un fichier
.mdcontenant des liens vers des URI non standards (ex.file://,ms-appinstaller://). - Sur les versions vulnérables, un clic (souvent Ctrl+clic) peut déclencher l’ouverture/exécution via le protocole associé, ce qui peut mener à l’exécution d’un binaire local ou hébergé sur un partage réseau (scénario typique : SMB).
Impact
- Exécution de code au niveau des droits de l’utilisateur ayant ouvert/cliqué (même contexte de sécurité).
- Possibilité d’exécuter des programmes depuis :
- le poste local ;
- un partage réseau / ressource distante (selon les politiques et l’accès).
- Risque accru via social engineering (inciter l’utilisateur à cliquer).
Recommandations / Mesures de réduction du risque
- Mettre à jour Notepad (via Microsoft Store / mises à jour Windows) vers une version corrigée (au minimum >= 11.2510).
- Sensibilisation : ne pas cliquer sur des liens dans des fichiers
.mdprovenant de sources non fiables. - Réduction de surface (défense en profondeur) :
- Restreindre l’accès aux partages SMB inutiles, filtrer
\\/file://en environnement sensible. - Durcir les politiques d’exécution (AppLocker/WDAC), contrôler
ms-appinstallersi pertinent.
- Restreindre l’accès aux partages SMB inutiles, filtrer
- Détection :
- Surveiller l’ouverture de protocoles/URI inhabituels depuis
Notepad.exe. - Journaliser/alerter sur exécutions “enfant” lancées après interaction utilisateur (corrélation EDR).
- Surveiller l’ouverture de protocoles/URI inhabituels depuis
IOC observables
Peu d’IoCs “classiques” (hash/IP/domain) : on est surtout sur des indicateurs fonctionnels.
- CVE :
CVE-2026-20841 - Application / version :
Windows Notepad < 11.2510 - Vecteurs/URI suspects dans fichiers
.md:file://...(exécution/accès à un exécutable, y compris via partage réseau)ms-appinstaller://...- (souvent cités comme exemples de surface)
ms-settings:,ms-search:,mailto:
TTPs (extraits) — MITRE ATT&CK
- T1204.001 / T1204.002 — User Execution (Malicious Link / Malicious File)
L’attaquant s’appuie sur le clic utilisateur dans un fichier Markdown. - T1566.001 — Phishing (Spearphishing Attachment) (scénario probable)
Livraison du fichier.mdpar email/IM. - T1105 — Ingress Tool Transfer (scénario possible)
Si l’exécution déclenche le chargement d’un binaire depuis une ressource distante. - TA0002 / Exécution (résultat)
Lancement de programme via protocole/URI (exécution dans le contexte utilisateur).
Type d’article: patch de sécurité — But principal: informer sur la correction par Microsoft d’une vulnérabilité RCE dans le Bloc‑notes de Windows 11.
🔗 Source originale : https://www.bleepingcomputer.com/news/microsoft/windows-11-notepad-flaw-let-files-execute-silently-via-markdown-links/